This commit is contained in:
Jan Philipp Timme 2018-10-05 17:16:53 +02:00
parent 13a41ed780
commit 7b72197825

View File

@ -392,8 +392,9 @@ Da das BSI in seinen technischen Richtlinien keine Bedenken gegen den Einsatz vo
\paragraph{Festlegen der Schlüssellänge}
Im nächsten Schritt wird die Länge der RSA-Schlüssel festgelegt, die in allen durch die CA ausgestellten Zertifikaten zum Einsatz kommen soll.
OpenVPN empfiehlt eine Schlüssellänge größer als 2048 Bit: \textit{\enquote{OpenVPN will migrate to 'preferred' as default in the future. Please ensure that your keys already comply.}}\cite[][Option \texttt{--tls-cert-profile}]{man:openvpn}.
Das BSI empfiehlt den Schlüssellängen größer als 3000 Bit für Verwendungen über das Jahr 2023 hinaus\cite[][Kapitel 3.5, Absatz \enquote{Schlüssellänge} (S.38)]{bsi:tr-02102-1}.
OpenVPN empfiehlt eine Schlüssellänge von mindestens 2048 Bit: \textit{\enquote{OpenVPN will migrate to 'preferred' as default in the future. Please ensure that your keys already comply.}}.
Das Profil \enquote{preferred} ist dabei wie folgt definiert: \textit{\enquote{SHA2 and newer, RSA 2048-bit+, any elliptic curve.}}\cite[][Option \texttt{--tls-cert-profile}]{man:openvpn}.
Das BSI empfiehlt den Schlüssellängen von mindestens 3000 Bit für Verwendungen über das Jahr 2023 hinaus\cite[][Kapitel 3.5, Absatz \enquote{Schlüssellänge} (S.38)]{bsi:tr-02102-1}.
\paragraph{Eingebettete Informationen}
Voller Name und die Hochschul-E-Mail-Adresse von Benutzern soll enthalten sein. Das geht nur mit dem vollen Schema.