Even more
This commit is contained in:
parent
306e23af31
commit
6c366fbe82
|
@ -280,21 +280,20 @@ Weil RSA immer noch funktioniert und in naher Zukunft nicht geknackt werden wird
|
|||
Das BSI hat in seinen technischen Richtlinien keine Bedenken gegen den Einsatz von RSA in Szenarien, die über 2023 hinausgehen\cite[][Kapitel 3.5, Absatz \enquote{Schlüssellänge} (S.38)]{bsi:tr-02102-1}.
|
||||
|
||||
Ressourcen:
|
||||
* Empfehlungen des BSI für kryptografische Algorithmen und Schlüssellängen\cite{bsi:tr-02102-1}
|
||||
* Empfehlungen des BSI für kryptografische Algorithmen und Schlüssellängen bezüglich IPsec\cite{bsi:tr-02102-3}
|
||||
\begin{itemize}
|
||||
\item Empfehlungen des BSI für kryptografische Algorithmen und Schlüssellängen\cite{bsi:tr-02102-1}
|
||||
\item Empfehlungen des BSI für kryptografische Algorithmen und Schlüssellängen bezüglich IPsec\cite{bsi:tr-02102-3}
|
||||
\end{itemize}
|
||||
|
||||
|
||||
|
||||
Wie groß soll der Schlüssel sein?
|
||||
Wie groß soll der RSA-Schlüssel sein?
|
||||
\begin{itemize}
|
||||
\item OpenVPN empfiehlt RSA >2048Bit: \enquote{OpenVPN will migrate to 'preferred' as default in the future. Please ensure that your keys already comply.}\cite[][Option \texttt{--tls-cert-profile}]{man:openvpn}
|
||||
\item Das BSI empfiehlt den Betrieb mit Schlüsseln >3000Bit über das Jahr 2023 hinaus\cite[][Kapitel 3.5, Absatz \enquote{Schlüssellänge} (S.38)]{bsi:tr-02102-1}.
|
||||
\end{itemize}
|
||||
|
||||
Zertifikate nur mit CN oder volles Schema?
|
||||
Organisatorische Frage: Zertifikate nur mit CN oder volles Schema?
|
||||
Volles Schema => Mehr Informationen darüber, wo der VPN-Dienst angesiedelt ist. Ändert nicht viel. Es spricht nichts gegen den Einsatz des vollen Schemas. Es gibt keine nennenswerten Vorteile oder Nachteile. Mehr Informationen können helfen, wenn man einen Eimer voller Zertifikate findet.
|
||||
|
||||
|
||||
Welche Angaben werden für Benutzerzertifikate übernommen? Namen? Benutzerkennungen?
|
||||
\begin{itemize}
|
||||
\item Falls es möglich sein soll, Zertifikate bei Missbrauch/Verlust/etc zu sperren, dann braucht man einen eindeutigen Identifier
|
||||
|
|
Loading…
Reference in New Issue