¿Qué es ECDHE-RSA?

Las suites ECDHE usan el intercambio de claves de curva elíptica diffie-hellman, donde las suites DHE usan la diferencia normal-hellman. Este intercambio se firma con RSA, de la misma manera en ambos casos.

La principal ventaja de ECDHE es que es significativamente más rápido que el DHE. Este artículo del blog habla un poco sobre el desempeño de ECDHE vs. DHE en el contexto de SSL.

Para agregar un poco de información sobre lo que @CodesInChaos dice:

Cuando usa ECDHE en lugar de DHE, puede obtener las siguientes ventajas:

• Mejor rendimiento. ECDHE es más rápido, para un nivel de seguridad determinado; @CodesInChaos apunta a un artículo que da cifras; vea también esta respuesta para por qué la curva elíptica ofrece un mejor rendimiento.
• Mensajes más pequeños. Una clave pública ECDH, con una curva de 224 bits, se codificará sobre 56 bytes, mientras que una clave pública DH clásica de intensidad similar debe usar un módulo de 2048 bits y usará 256 bytes. . Dado que hay dos mensajes de este tipo en un protocolo de enlace SSL, ECDHE le ahorra aproximadamente 400 bytes. Eso no es mucho, pero puede marcar la diferencia en algunos contextos.
• Biodiversidad. ECDH se basa en la dureza de un problema matemático que es distinto del utilizado para la DH clásica. Hasta cierto punto, el DH clásico se puede ver como un subcaso muy específico de ECDH (los cálculos modulo a prime son isomorfos a la suma de puntos de curva en una curva anómala), por lo que podemos hacer una discusión manual sobre cómo ECDH es inherentemente al menos tan fuerte como DH (si ECDH se rompe, también lo es DH). En la práctica, hay algoritmos sub-exponenciales (es decir, más rápidos) para resolver logaritmo discreto , por lo que debemos usar un 2048 módulo de bits en lugar de un módulo de 224 bits para DH simple; mientras que no se sabe que tal algoritmo "más rápido" rompa la variante de curva elíptica.
• Fashionability. Las curvas elípticas son geniales . Esta es una ventaja importante, aunque habitualmente se expresa con una terminología más seria y aburrida ("conformidad", "algoritmo aprobado" ...).
• Limpieza. Si aplica el uso de ECDHE, rechazará automáticamente las implementaciones antiguas que no saben cómo hacer ECDHE. Si usa ECDHE para su servidor web, ¡ya no tendrá que preocuparse por IE 6.0 o 7.0! Los argumentos criptográficos para ECDHE son una buena excusa para matar a los dinosaurios que deberían haberse fosilizado hace mucho tiempo.

Veo dos preguntas

  

"¿Dónde se utilizan exactamente las curvas elípticas en ECDHE-RSA?"

Veo que esto es como "¿Cómo se usan las curvas elípticas cuando se trata de RSA en ECDHE_RSA?". Bueno, consulte RFC 4492, Sección 2, ECDHE_RSA , es bastante bueno. Esencialmente, el certificado del servidor es un certificado RSA (es decir, con claves RSA a largo plazo) pero durante el protocolo de enlace TLS acepta un transitorio / temporal / Efímero (el E es DHE ) Clave pública de la CE con DH. Por lo tanto, la autenticidad a largo plazo se confirma a través de la firma RSA del certificado del servidor, pero las claves transitorias se derivan a través de claves EC efímeras (que luego generan la clave simétrica)

  

¿Qué ventajas tiene ECDHE-RSA sobre DHE-RSA?

Esto ya se aborda en las otras respuestas.

  

¿Cuál es la diferencia entre ECDHE-RSA y DHE-RSA?

Empecemos con las similitudes.

• Ambos conjuntos de claves utilizan claves efímeras para el proceso Diffie-Hellman. (Esa es la "E" en el nombre). Esto proporciona secreto hacia adelante.
• Ambos conjuntos de claves utilizan RSA para firmar las claves enferales del servidor y, por lo tanto, protegen el intercambio contra ataques de intermediarios (que es el RSA en el nombre).

Ahora por la diferencia.

• ECDHE-RSA usa Diffie-Hellman en un grupo de curvas elípticas, mientras que DHE-RSA usa Diffie-Hellman en un grupo de módulo principal.

  

¿Qué ventajas tiene ECDHE-RSA sobre DHE-RSA?

Hay un ataque conocido que funciona para DH convencional pero no para ECDH.

Como resultado, para obtener el mismo nivel de seguridad asumido * DH necesita un grupo mucho más grande que ECDH. Eso significa cálculos más lentos y más tráfico de red.

Al entrar en el desordenado mundo de los aspectos prácticos, algunos clientes solo admiten DHE convencional, mientras que otros solo admiten ECDHE. Además, Java 7 fallará en el protocolo de enlace si se usa DHE con un primo mayor que 1024 bits **.

Entonces, si desea una amplia compatibilidad con el cliente, una criptografía sólida y un secreto hacia adelante con la mayor cantidad de clientes posible, debería usar ECDHE como su opción preferida y DHE (con un número primo adecuado) como la segunda opción.

* Esa es la cantidad de esfuerzo computacional necesario para resolverlo, dados los mejores ataques conocidos actualmente.
** Nadie ha admitido públicamente que lo ha descifrado, pero se sospecha que los atacantes con recursos suficientes podrían hacerlo.