From b52b061c992dcedd2c219906911178055db7ddfa Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Fri, 5 Oct 2018 16:04:52 +0200 Subject: [PATCH] Autosave --- MA-Inhalt.tex | 12 +++++++----- 1 file changed, 7 insertions(+), 5 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 8c59401..3a0f212 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -360,7 +360,7 @@ Bevor mit EasyRSA~3.0.5 eine CA aufgebaut werden kann, muss die Konfiguration vo Die anzupassenden Parameter werden in diesem Abschnitt beschrieben und die dazu getroffenen Entscheidungen erläutert. \paragraph{Auswahl des Kryptosystems} -EasyRSA unterstützt sowohl RSA-Schlüsselpaare als auch Schlüsselpaare auf Basis des \textit{Elliptische-Kurven-Kryptografie} (EKK). +EasyRSA unterstützt sowohl RSA-Schlüsselpaare als auch Schlüsselpaare auf Basis der \textit{Elliptische-Kurven-Kryptografie} (EKK). Somit stehen RSA und EKK als Kryptosystems zur Auswahl, mit denen die CA aufgebaut werden kann. OpenVPN unterstützt die Verwendung von Zertifikaten mit Schlüsseln auf Basis der EKK ab Version~2.4.0\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/README.ec}}, die im Dezember 2016 veröffentlicht wurde\footnote{Siehe \url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.0}}. @@ -372,10 +372,12 @@ Für das gewählte Kryptosystem müssen spezifische Parameter wie die gewünscht Sollten die Parameter des Kryptosystems oder das Kryptosystem selbst während des Betriebszeitraums nicht mehr als sicher gelten, so muss eine neue CA aufgebaut werden und die unsichere CA ersetzen. Tritt dieser Fall ein, so ist er mit einem hohen Arbeitsaufwand verbunden, da neue Betriebsparameter für die CA gewählt werden müssen und alle gültigen Zertifikate der alten CA entsprechend ersetzt werden müssen. Deshalb ist es geboten das Risiko für diesen Fall zu minimieren. - -Die Auswahl des Kryptosystems für die CA zielt darauf ab, möglichst wenig potentielle Fehlerquellen zu haben, damit die Wahrscheinlichkeit ein Einsatz über 20 Jahre -Um das Eintrittsrisiko eines solchen Falls zu reduzieren, wird wird ein Kryptosystem ausgewählt, welches möglichst wenig Fehlerquellen mit sich bringt, die zu führen können. -Neben der deutlich längeren Erprobung von RSA im Zusammenspiel mit OpenVPN spricht auch für RSA, dass lediglich die Schlüssellänge als Parameter gewählt werden muss. +Aus diesem Grund fällt die Wahl auf RSA, da mit RSA im Vergleich zu EKK mehr Erfahrungswerte vorliegen, die für die langfristige Stabilität von RSA sprechen. +Ein weiterer Grund für die Wahl von RSA liegt darin, dass lediglich die Schlüssellänge als Parameter gewählt werden muss. +Mögliche Fehler bei der Wahl einer elliptischen Kurve, wie sie bei EKK notwendig ist, entfallen bei RSA. +Die Vorteile von EKK sind bei dem Anwendungsfall der CA hingegen nicht relevant: +Die im Vergleich zu RSA geringeren Schlüssellängen bei gleichem Sicherheitsniveau werden nicht zwingend benötigt, da die Schlüssel beider Kryptosysteme auf modernen Computern in mehr als ausreichender Anzahl abgespeichert werden können. +Auch auf die im Vergleich zu RSA effizienteren Verfahren in EKK zum Signieren und Verschlüsseln von Daten kann verzichtet werden, da alle diese Operationen auf modernen Computern in wenigen Sekunden berechnet werden können. \begin{itemize}