This commit is contained in:
Jan Philipp Timme 2018-10-04 15:52:01 +02:00
parent 4ac7de4478
commit f754ff5171
1 changed files with 9 additions and 3 deletions

View File

@ -361,14 +361,20 @@ Die anzupassenden Parameter werden in diesem Abschnitt beschrieben und die dazu
\paragraph{Auswahl des Kryptosystems} \paragraph{Auswahl des Kryptosystems}
EasyRSA unterstützt sowohl RSA-Schlüsselpaare als auch Schlüsselpaare auf Basis des \textit{Elliptische-Kurven-Kryptografie} (EKK). EasyRSA unterstützt sowohl RSA-Schlüsselpaare als auch Schlüsselpaare auf Basis des \textit{Elliptische-Kurven-Kryptografie} (EKK).
Somit stehen RSA und EKK als Kryptosystems zur Auswahl, mit denen die CA aufgebaut werden kann.
OpenVPN unterstützt die Verwendung von Zertifikaten mit Schlüsseln auf Basis der EKK ab Version~2.4.0\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/README.ec}}, die im Dezember 2016 veröffentlicht wurde\footnote{Siehe \url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.0}}. OpenVPN unterstützt die Verwendung von Zertifikaten mit Schlüsseln auf Basis der EKK ab Version~2.4.0\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/v2.4.6/README.ec}}, die im Dezember 2016 veröffentlicht wurde\footnote{Siehe \url{https://github.com/OpenVPN/openvpn/releases/tag/v2.4.0}}.
Die Unterstützung von Zertifikaten mit RSA-Schlüsseln jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/master/ChangeLog}}, und existiert seit spätestens Mai 2002. Die Unterstützung von Zertifikaten mit RSA-Schlüsseln jedoch schon in Version~1.2.0 vorhanden gewesen\footnote{Vergleich \url{https://github.com/OpenVPN/openvpn/blob/master/ChangeLog}}, und existiert spätestens seit Mai 2002.
Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld somit mindestens 14 Jahre länger erprobt, als Zertifikate auf Basis von EKK. Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld somit mindestens 14 Jahre länger erprobt, als Zertifikate auf Basis von EKK.
Da die Zertifikate für den VPN-Dienst je nach Einsatzgebiet für Zeiträume von 5 bis 20 Jahren gültig sein sollen, ist diese Tatsache ausschlaggebend für die Wahl des Kryptosystems.
Da die Zertifikate für den VPN-Dienst, abhängig von ihrem Verwendungszweck, für Zeiträume von 5 bis 20 Jahren gültig sein sollen, sind die bisherigen Verwendungszeiträume der Kryptosysteme RSA und EKK aufgrund der damit verbundenen Erfahrungen ausschlaggebend für die Auswahl des Kryptosystems:
Für das gewählte Kryptosystem müssen spezifische Parameter wie die gewünschte Schlüssellänge und, falls EKK zum Einsatz kommen soll, eine elliptische Kurve gewählt werden.
Sollten die gewählten Parameter oder das Kryptosystem nicht mehr als sicher gelten, so muss eine neue CA mit als sicher eingestuftem Kryptosystem und dazugehörigen Parametern neu aufgebaut werden.
Zusätzlich müssen alle ehemals gültigen Zertifikate durch die neue CA ersetzt werden.
Um das Risiko für so einen Fall und den damit verbundenen Arbeitsaufwand zu reduzieren, wird das RSA-Kryptosystem ausgewählt.
Neben der deutlich längeren Erprobung von RSA im Zusammenspiel mit OpenVPN spricht auch für RSA, dass lediglich die Schlüssellänge als Parameter gewählt werden muss.
% ============================
Auch die Mathematik hinter RSA ist im Vergleich zu den Verfahren für elliptische Kurven weniger komplex. Auch die Mathematik hinter RSA ist im Vergleich zu den Verfahren für elliptische Kurven weniger komplex.
Auch die Fülle von den verschiedenen verfügbaren Kurven fügt weitere Komplexität hinzu. Auch die Fülle von den verschiedenen verfügbaren Kurven fügt weitere Komplexität hinzu.