JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Autosave

This commit is contained in:
Jan Philipp Timme 2018-10-04 17:31:13 +02:00
parent adc07b2e3a
commit ddb7e5a11b
1 changed files with 10 additions and 7 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

17
MA-Inhalt.tex
View File

@ -364,15 +364,18 @@ EasyRSA unterstützt sowohl RSA-Schlüsselpaare als auch Schlüsselpaare auf Bas
Somit stehen RSA und EKK als Kryptosystems zur Auswahl, mit denen die CA aufgebaut werden kann.
OpenVPN unterstützt die Verwendung von Zertifikaten mit Schlüsseln auf Basis der EKK ab Version~2.4.0\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/README.ec}}, die im Dezember 2016 veröffentlicht wurde\footnote{Siehe \url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.0}}.
Die Unterstützung von Zertifikaten mit RSA-Schlüsseln jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/ChangeLog}}, und existiert spätestens seit Mai 2002.
Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld somit mindestens 14 Jahre länger erprobt als Zertifikate auf Basis von EKK.
Die Unterstützung von Zertifikaten mit RSA-Schlüsseln ist jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/ChangeLog}}, und existiert somit spätestens seit Mai 2002.
Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld also mindestens 14 Jahre länger erprobt als Zertifikate auf Basis von EKK.
Die daraus resultierenden Erfahrungswerte sind für die Auswahl des Kryptosystems der VPN-CA ausschlaggebend, da die Zertifikate für den VPN-Dienst, abhängig von ihrem Verwendungszweck, für Zeiträume von 5 bis 20 Jahren gültig sein sollen.
Da die Zertifikate für den VPN-Dienst, abhängig von ihrem Verwendungszweck, für Zeiträume von 5 bis 20 Jahren gültig sein sollen, sind die bisherigen Verwendungszeiträume der Kryptosysteme RSA und EKK aufgrund der damit verbundenen Erfahrungen ausschlaggebend für die Auswahl des Kryptosystems:
Für das gewählte Kryptosystem müssen spezifische Parameter wie die gewünschte Schlüssellänge und, falls EKK zum Einsatz kommen soll, eine elliptische Kurve gewählt werden.
Für das gewählte Kryptosystem müssen spezifische Parameter wie die gewünschte Schlüs\-sel\-län\-ge und, im Fall von EKK, eine elliptische Kurve gewählt werden.
Sollten die Parameter des Kryptosystems oder das Kryptosystem selbst nicht mehr als sicher gelten, so muss eine neue CA mit einem als sicher eingestuftem Kryptosystem aufgebaut werden.
Zusätzlich müssen alle gültigen Zertifikate der alten CA durch Zertifikate der neuen CA ersetzt werden.
Tritt dieser Fall ein, so ist er mit einem hohen Arbeitsaufwand verbunden.
Deshalb soll schon bei der Auswahl des Kryptosystems dieses Risiko minimiert werden.
Sollten die gewählten Parameter oder das Kryptosystem nicht mehr als sicher gelten, so muss eine neue CA mit als sicher eingestuftem Kryptosystem und dazugehörigen Parametern neu aufgebaut werden.
Zusätzlich müssen alle ehemals gültigen Zertifikate durch die neue CA ersetzt werden.
Um das Risiko für so einen Fall und den damit verbundenen Arbeitsaufwand zu reduzieren, wird das RSA-Kryptosystem ausgewählt.
Die Auswahl des Kryptosystems für die CA zielt darauf ab, möglichst wenig potentielle Fehlerquellen zu haben, damit die Wahrscheinlichkeit ein Einsatz über 20 Jahre
Um das Eintrittsrisiko eines solchen Falls zu reduzieren, wird wird ein Kryptosystem ausgewählt, welches möglichst wenig Fehlerquellen mit sich bringt, die zu führen können.
Neben der deutlich längeren Erprobung von RSA im Zusammenspiel mit OpenVPN spricht auch für RSA, dass lediglich die Schlüssellänge als Parameter gewählt werden muss.