¿Es más seguro un certificado con más bits que su principal?

Navega tus respuestas
4

Let's Encrypt actualmente emite certificados RSA de 4096 bits si se solicita (el valor predeterminado, sin embargo, es 2048). Pero sus padres, el intermedio "Let's Encrypt Authority X3" y la raíz "DST Root CA X3", son ambos de 2048 bits.

De acuerdo a este hilo , la conocida Qualys SSL Labs test ofrece una configuración con 4096 bits. Cifre el certificado una mejor calificación (en la sección "Intercambio de claves") que a 2048 bit uno. ¿Por qué? ¿No es una cadena de certificados tan débil como el eslabón más débil?

    
pregunta Neith 18.05.2017 - 03:34
fuente

2 respuestas

7

Actualmente, no se puede romper el RSA de 2048 ni de 4096 bits. Por lo tanto, la pregunta es cómo afecta a la seguridad de los datos si el atacante los encuentra hoy pero logra romper las claves en el futuro:

  • Las claves de la CA solo son necesarias para validar la cadena de certificados. El compromiso de las claves que se utilizan para establecer una conexión no permite descifrar los datos detectados.
  • La clave del certificado de hoja se usa para autenticar el servidor, lo que tampoco es un problema si la clave se compromete más adelante.
  • Si se usa el intercambio de claves RSA en lugar del intercambio de claves DH / ECDH recomendado, la clave en el certificado de hoja se usa para proteger las claves simétricas intercambiadas. El compromiso de la clave RSA permitirá eliminar esta protección en los datos rastreados y, por lo tanto, permitirá descifrar el tráfico rastreado. En este caso, RSA-4096 dará más seguridad que RSA-2048 porque los esfuerzos necesarios para romperlo son mucho más altos. Pero, en la práctica, el atacante probablemente tratará de llegar a la clave privada no rompiendo RSA sino comprometiendo el sistema donde se almacena la clave privada o usando la ley para llegar a la clave. En este caso, RSA-2048 y RSA-4096 proporcionan la misma seguridad.

En resumen: RSA-2048 es suficiente para los certificados de CA en la actualidad. El uso de RSA-4096 en un certificado de hoja podría, en teoría, ser mejor que RSA-2048. En la práctica, solo es mejor si se utiliza el intercambio de claves RSA. Pero el uso de este intercambio de claves en lugar de DH / ECDH no es una buena idea, ya que la clave privada del certificado podría verse comprometida de una manera más fácil, además de descifrar el RSA.

    
respondido por el Steffen Ullrich 18.05.2017 - 08:15
fuente
0

Depende completamente, porque la seguridad no se trata solo de bits. También se trata de otros controles y precauciones. Se trata de cuán seguros son los sistemas contra el acceso físico y de otro tipo.

1536 o 2048 bits es aún bastante difícil de romper si la CA es un terminal fuera de línea del 100% en una bóveda.

Pero un certificado de clave supersegura de 16384 bits emitido bajo él es mucho más rompible si, lamentablemente, su sistema de emisión no está bien asegurado, o la red me permite leer su certificado privado, o se procesa utilizando canales laterales a los que puede acceder un malhechor, etc. .

A la inversa, la CA que usa 2048 puede no ser ideal para firmar por una clave de 4096 bits bien asegurada que usted crea ... Pero puede valer la pena que use 4096 si cree que hay un punto de debilidad menos en el futuro, o cualquiera número de otras razones.

    
respondido por el Stilez 22.06.2017 - 15:58
fuente

Lea otras preguntas en las etiquetas

¿Es una buena idea generar CRL específicos de certificados? ¿Cómo se llama esta técnica? ¿La "Autorización: portador" en el encabezado de solicitud solucionará los ataques CSRF? [duplicar]