diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 5c014a3..48717c2 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -361,14 +361,20 @@ Die anzupassenden Parameter werden in diesem Abschnitt beschrieben und die dazu \paragraph{Auswahl des Kryptosystems} EasyRSA unterstützt sowohl RSA-Schlüsselpaare als auch Schlüsselpaare auf Basis des \textit{Elliptische-Kurven-Kryptografie} (EKK). +Somit stehen RSA und EKK als Kryptosystems zur Auswahl, mit denen die CA aufgebaut werden kann. + OpenVPN unterstützt die Verwendung von Zertifikaten mit Schlüsseln auf Basis der EKK ab Version~2.4.0\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/README.ec}}, die im Dezember 2016 veröffentlicht wurde\footnote{Siehe \url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.0}}. -Die Unterstützung von Zertifikaten mit RSA-Schlüsseln jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/master/ChangeLog}}, und existiert seit spätestens Mai 2002. +Die Unterstützung von Zertifikaten mit RSA-Schlüsseln jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/master/ChangeLog}}, und existiert spätestens seit Mai 2002. Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld somit mindestens 14 Jahre länger erprobt, als Zertifikate auf Basis von EKK. -Da die Zertifikate für den VPN-Dienst je nach Einsatzgebiet für Zeiträume von 5 bis 20 Jahren gültig sein sollen, ist diese Tatsache ausschlaggebend für die Wahl des Kryptosystems. +Da die Zertifikate für den VPN-Dienst, abhängig von ihrem Verwendungszweck, für Zeiträume von 5 bis 20 Jahren gültig sein sollen, sind die bisherigen Verwendungszeiträume der Kryptosysteme RSA und EKK aufgrund der damit verbundenen Erfahrungen ausschlaggebend für die Auswahl des Kryptosystems: +Für das gewählte Kryptosystem müssen spezifische Parameter wie die gewünschte Schlüssellänge und, falls EKK zum Einsatz kommen soll, eine elliptische Kurve gewählt werden. +Sollten die gewählten Parameter oder das Kryptosystem nicht mehr als sicher gelten, so muss eine neue CA mit als sicher eingestuftem Kryptosystem und dazugehörigen Parametern neu aufgebaut werden. +Zusätzlich müssen alle ehemals gültigen Zertifikate durch die neue CA ersetzt werden. +Um das Risiko für so einen Fall und den damit verbundenen Arbeitsaufwand zu reduzieren, wird das RSA-Kryptosystem ausgewählt. +Neben der deutlich längeren Erprobung von RSA im Zusammenspiel mit OpenVPN spricht auch für RSA, dass lediglich die Schlüssellänge als Parameter gewählt werden muss. -% ============================ Auch die Mathematik hinter RSA ist im Vergleich zu den Verfahren für elliptische Kurven weniger komplex. Auch die Fülle von den verschiedenen verfügbaren Kurven fügt weitere Komplexität hinzu.