From 4ac7de44788ea6cfaef1643ae99f8da3c52baf52 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Thu, 4 Oct 2018 13:01:07 +0200 Subject: [PATCH] Autosave --- MA-Inhalt.tex | 14 ++++++++++---- 1 file changed, 10 insertions(+), 4 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 118c27c..5c014a3 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -360,15 +360,21 @@ Bevor mit EasyRSA~3.0.5 eine CA aufgebaut werden kann, muss die Konfiguration vo Die anzupassenden Parameter werden in diesem Abschnitt beschrieben und die dazu getroffenen Entscheidungen erläutert. \paragraph{Auswahl des Kryptosystems} -EasyRSA unterstützt sowohl RSA-Schlüsselpaare als auch Schlüsselpaare auf Basis des Elliptic-Curve-Kryptosystems. +EasyRSA unterstützt sowohl RSA-Schlüsselpaare als auch Schlüsselpaare auf Basis des \textit{Elliptische-Kurven-Kryptografie} (EKK). +OpenVPN unterstützt die Verwendung von Zertifikaten mit Schlüsseln auf Basis der EKK ab Version~2.4.0\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/README.ec}}, die im Dezember 2016 veröffentlicht wurde\footnote{Siehe \url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.0}}. +Die Unterstützung von Zertifikaten mit RSA-Schlüsseln jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/master/ChangeLog}}, und existiert seit spätestens Mai 2002. +Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld somit mindestens 14 Jahre länger erprobt, als Zertifikate auf Basis von EKK. +Da die Zertifikate für den VPN-Dienst je nach Einsatzgebiet für Zeiträume von 5 bis 20 Jahren gültig sein sollen, ist diese Tatsache ausschlaggebend für die Wahl des Kryptosystems. + + + +% ============================ -OpenVPN unterstützt die Verwendung von Zertifikaten mit ECDSA ab Version~2.4.0\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/README.ec}}, die im Dezember 2016 veröffentlicht wurde\footnote{Siehe \url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.0}}. Auch die Mathematik hinter RSA ist im Vergleich zu den Verfahren für elliptische Kurven weniger komplex. - Auch die Fülle von den verschiedenen verfügbaren Kurven fügt weitere Komplexität hinzu. - Sowohl die geringere Komplexität von RSA als auch der größere Zeitraum der Unterstützung von RSA sind Gründe, um langlebige Komponenten wie ausgestellte Zertifikate, die für einen Zeitraum von 5-20 Jahren gültig sein sollen, mit RSA zu bestücken. + RSA ist langfristig in meinen Augen stabil EC geht kurzfristig - keine Ahnung warum. Aufgrund der Komplexität von EC sollte es möglich sein, bei Bedarf Parameter wie zum Beispiel die gewählte Kurve anzupassen.