Autosave
This commit is contained in:
parent
adc07b2e3a
commit
ddb7e5a11b
|
@ -364,15 +364,18 @@ EasyRSA unterstützt sowohl RSA-Schlüsselpaare als auch Schlüsselpaare auf Bas
|
||||||
Somit stehen RSA und EKK als Kryptosystems zur Auswahl, mit denen die CA aufgebaut werden kann.
|
Somit stehen RSA und EKK als Kryptosystems zur Auswahl, mit denen die CA aufgebaut werden kann.
|
||||||
|
|
||||||
OpenVPN unterstützt die Verwendung von Zertifikaten mit Schlüsseln auf Basis der EKK ab Version~2.4.0\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/README.ec}}, die im Dezember 2016 veröffentlicht wurde\footnote{Siehe \url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.0}}.
|
OpenVPN unterstützt die Verwendung von Zertifikaten mit Schlüsseln auf Basis der EKK ab Version~2.4.0\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/README.ec}}, die im Dezember 2016 veröffentlicht wurde\footnote{Siehe \url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.0}}.
|
||||||
Die Unterstützung von Zertifikaten mit RSA-Schlüsseln jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/ChangeLog}}, und existiert spätestens seit Mai 2002.
|
Die Unterstützung von Zertifikaten mit RSA-Schlüsseln ist jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/ChangeLog}}, und existiert somit spätestens seit Mai 2002.
|
||||||
Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld somit mindestens 14 Jahre länger erprobt als Zertifikate auf Basis von EKK.
|
Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld also mindestens 14 Jahre länger erprobt als Zertifikate auf Basis von EKK.
|
||||||
|
Die daraus resultierenden Erfahrungswerte sind für die Auswahl des Kryptosystems der VPN-CA ausschlaggebend, da die Zertifikate für den VPN-Dienst, abhängig von ihrem Verwendungszweck, für Zeiträume von 5 bis 20 Jahren gültig sein sollen.
|
||||||
|
|
||||||
Da die Zertifikate für den VPN-Dienst, abhängig von ihrem Verwendungszweck, für Zeiträume von 5 bis 20 Jahren gültig sein sollen, sind die bisherigen Verwendungszeiträume der Kryptosysteme RSA und EKK aufgrund der damit verbundenen Erfahrungen ausschlaggebend für die Auswahl des Kryptosystems:
|
Für das gewählte Kryptosystem müssen spezifische Parameter wie die gewünschte Schlüs\-sel\-län\-ge und, im Fall von EKK, eine elliptische Kurve gewählt werden.
|
||||||
Für das gewählte Kryptosystem müssen spezifische Parameter wie die gewünschte Schlüssellänge und, falls EKK zum Einsatz kommen soll, eine elliptische Kurve gewählt werden.
|
Sollten die Parameter des Kryptosystems oder das Kryptosystem selbst nicht mehr als sicher gelten, so muss eine neue CA mit einem als sicher eingestuftem Kryptosystem aufgebaut werden.
|
||||||
|
Zusätzlich müssen alle gültigen Zertifikate der alten CA durch Zertifikate der neuen CA ersetzt werden.
|
||||||
|
Tritt dieser Fall ein, so ist er mit einem hohen Arbeitsaufwand verbunden.
|
||||||
|
Deshalb soll schon bei der Auswahl des Kryptosystems dieses Risiko minimiert werden.
|
||||||
|
|
||||||
Sollten die gewählten Parameter oder das Kryptosystem nicht mehr als sicher gelten, so muss eine neue CA mit als sicher eingestuftem Kryptosystem und dazugehörigen Parametern neu aufgebaut werden.
|
Die Auswahl des Kryptosystems für die CA zielt darauf ab, möglichst wenig potentielle Fehlerquellen zu haben, damit die Wahrscheinlichkeit ein Einsatz über 20 Jahre
|
||||||
Zusätzlich müssen alle ehemals gültigen Zertifikate durch die neue CA ersetzt werden.
|
Um das Eintrittsrisiko eines solchen Falls zu reduzieren, wird wird ein Kryptosystem ausgewählt, welches möglichst wenig Fehlerquellen mit sich bringt, die zu führen können.
|
||||||
Um das Risiko für so einen Fall und den damit verbundenen Arbeitsaufwand zu reduzieren, wird das RSA-Kryptosystem ausgewählt.
|
|
||||||
Neben der deutlich längeren Erprobung von RSA im Zusammenspiel mit OpenVPN spricht auch für RSA, dass lediglich die Schlüssellänge als Parameter gewählt werden muss.
|
Neben der deutlich längeren Erprobung von RSA im Zusammenspiel mit OpenVPN spricht auch für RSA, dass lediglich die Schlüssellänge als Parameter gewählt werden muss.
|
||||||
|
|
||||||
|
|
||||||
|
|
Loading…
Reference in New Issue