Autosave
This commit is contained in:
parent
f754ff5171
commit
adc07b2e3a
@ -364,8 +364,8 @@ EasyRSA unterstützt sowohl RSA-Schlüsselpaare als auch Schlüsselpaare auf Bas
|
||||
Somit stehen RSA und EKK als Kryptosystems zur Auswahl, mit denen die CA aufgebaut werden kann.
|
||||
|
||||
OpenVPN unterstützt die Verwendung von Zertifikaten mit Schlüsseln auf Basis der EKK ab Version~2.4.0\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/README.ec}}, die im Dezember 2016 veröffentlicht wurde\footnote{Siehe \url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.0}}.
|
||||
Die Unterstützung von Zertifikaten mit RSA-Schlüsseln jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/master/ChangeLog}}, und existiert spätestens seit Mai 2002.
|
||||
Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld somit mindestens 14 Jahre länger erprobt, als Zertifikate auf Basis von EKK.
|
||||
Die Unterstützung von Zertifikaten mit RSA-Schlüsseln jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/ChangeLog}}, und existiert spätestens seit Mai 2002.
|
||||
Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld somit mindestens 14 Jahre länger erprobt als Zertifikate auf Basis von EKK.
|
||||
|
||||
Da die Zertifikate für den VPN-Dienst, abhängig von ihrem Verwendungszweck, für Zeiträume von 5 bis 20 Jahren gültig sein sollen, sind die bisherigen Verwendungszeiträume der Kryptosysteme RSA und EKK aufgrund der damit verbundenen Erfahrungen ausschlaggebend für die Auswahl des Kryptosystems:
|
||||
Für das gewählte Kryptosystem müssen spezifische Parameter wie die gewünschte Schlüssellänge und, falls EKK zum Einsatz kommen soll, eine elliptische Kurve gewählt werden.
|
||||
@ -376,17 +376,6 @@ Um das Risiko für so einen Fall und den damit verbundenen Arbeitsaufwand zu red
|
||||
Neben der deutlich längeren Erprobung von RSA im Zusammenspiel mit OpenVPN spricht auch für RSA, dass lediglich die Schlüssellänge als Parameter gewählt werden muss.
|
||||
|
||||
|
||||
Auch die Mathematik hinter RSA ist im Vergleich zu den Verfahren für elliptische Kurven weniger komplex.
|
||||
Auch die Fülle von den verschiedenen verfügbaren Kurven fügt weitere Komplexität hinzu.
|
||||
Sowohl die geringere Komplexität von RSA als auch der größere Zeitraum der Unterstützung von RSA sind Gründe, um langlebige Komponenten wie ausgestellte Zertifikate, die für einen Zeitraum von 5-20 Jahren gültig sein sollen, mit RSA zu bestücken.
|
||||
|
||||
|
||||
RSA ist langfristig in meinen Augen stabil
|
||||
EC geht kurzfristig - keine Ahnung warum.
|
||||
Aufgrund der Komplexität von EC sollte es möglich sein, bei Bedarf Parameter wie zum Beispiel die gewählte Kurve anzupassen.
|
||||
Bei einer CA existieren erzeugte Schlüsselpaare für mehrere Jahre - ein Wechsel der Parameter und der damit verbundene Aufwand (alle Zertifikate neu ausstellen) ist nicht vertretbar.
|
||||
|
||||
|
||||
\begin{itemize}
|
||||
\item Die Wahl der Algorithmen wirkt sich höchstens auf die Dauer der Authentisierung beim Verbindungsaufbau aus, der reguläre Betrieb wird davon nicht berührt.
|
||||
\item Da OpenVPN-Clients für alle Plattformen den selben Code verwenden, sollte bei gleichbleibenden Versionen von OpenSSL (bzw. kompatiblen mbed-TLS-Bibliotheken) die Wahl sich nicht auf die Kompatibilität auswirken.
|
||||
|
Loading…
Reference in New Issue
Block a user