Autosave

MA-Inhalt.tex

@@ -364,15 +364,18 @@ EasyRSA unterstützt sowohl RSA-Schlüsselpaare als auch Schlüsselpaare auf Bas
 Somit stehen RSA und EKK als Kryptosystems zur Auswahl, mit denen die CA aufgebaut werden kann.
 
 OpenVPN unterstützt die Verwendung von Zertifikaten mit Schlüsseln auf Basis der EKK ab Version~2.4.0\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/README.ec}}, die im Dezember 2016 veröffentlicht wurde\footnote{Siehe \url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.0}}.
-Die Unterstützung von Zertifikaten mit RSA-Schlüsseln jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/ChangeLog}}, und existiert spätestens seit Mai 2002.
+Die Unterstützung von Zertifikaten mit RSA-Schlüsseln ist jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/ChangeLog}}, und existiert somit spätestens seit Mai 2002.
-Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld somit mindestens 14 Jahre länger erprobt als Zertifikate auf Basis von EKK.
+Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld also mindestens 14 Jahre länger erprobt als Zertifikate auf Basis von EKK.
+Die daraus resultierenden Erfahrungswerte sind für die Auswahl des Kryptosystems der VPN-CA ausschlaggebend, da die Zertifikate für den VPN-Dienst, abhängig von ihrem Verwendungszweck, für Zeiträume von 5 bis 20 Jahren gültig sein sollen.
 
-Da die Zertifikate für den VPN-Dienst, abhängig von ihrem Verwendungszweck, für Zeiträume von 5 bis 20 Jahren gültig sein sollen, sind die bisherigen Verwendungszeiträume der Kryptosysteme RSA und EKK aufgrund der damit verbundenen Erfahrungen ausschlaggebend für die Auswahl des Kryptosystems:
+Für das gewählte Kryptosystem müssen spezifische Parameter wie die gewünschte Schlüs\-sel\-län\-ge und, im Fall von EKK, eine elliptische Kurve gewählt werden.
-Für das gewählte Kryptosystem müssen spezifische Parameter wie die gewünschte Schlüssellänge und, falls EKK zum Einsatz kommen soll, eine elliptische Kurve gewählt werden.
+Sollten die Parameter des Kryptosystems oder das Kryptosystem selbst nicht mehr als sicher gelten, so muss eine neue CA mit einem als sicher eingestuftem Kryptosystem aufgebaut werden.
+Zusätzlich müssen alle gültigen Zertifikate der alten CA durch Zertifikate der neuen CA ersetzt werden.
+Tritt dieser Fall ein, so ist er mit einem hohen Arbeitsaufwand verbunden.
+Deshalb soll schon bei der Auswahl des Kryptosystems dieses Risiko minimiert werden.
 
-Sollten die gewählten Parameter oder das Kryptosystem nicht mehr als sicher gelten, so muss eine neue CA mit als sicher eingestuftem Kryptosystem und dazugehörigen Parametern neu aufgebaut werden.
+Die Auswahl des Kryptosystems für die CA zielt darauf ab, möglichst wenig potentielle Fehlerquellen zu haben, damit die Wahrscheinlichkeit ein Einsatz über 20 Jahre 
-Zusätzlich müssen alle ehemals gültigen Zertifikate durch die neue CA ersetzt werden.
+Um das Eintrittsrisiko eines solchen Falls zu reduzieren, wird wird ein Kryptosystem ausgewählt, welches möglichst wenig Fehlerquellen mit sich bringt, die zu führen können.
-Um das Risiko für so einen Fall und den damit verbundenen Arbeitsaufwand zu reduzieren, wird das RSA-Kryptosystem ausgewählt.
 Neben der deutlich längeren Erprobung von RSA im Zusammenspiel mit OpenVPN spricht auch für RSA, dass lediglich die Schlüssellänge als Parameter gewählt werden muss.