¿Qué tamaños de clave se permiten dentro de TLS si DHE_RSA es el único intercambio de clave permitido?

Question

¿Qué tamaños de clave se permiten dentro de TLS si DHE_RSA es el único intercambio de clave permitido?

#1 de Tom Leek (4 votos)

2

¿Puedo hacer suposiciones sobre el tamaño de clave mínimo y máximo si lo único que sé sobre un servidor TLS es el hecho de que utiliza DHE_RSA para el intercambio de clave?

¿Se puede configurar el servidor para usar tamaños de clave débiles para RSA y / o DH (por ejemplo, tamaño de clave pública de 512 bits) y aún tener una conexión TLS exitosa?

public-key-infrastructure key-management tls

pregunta Drew Lex 28.02.2013 - 21:21

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure key-management tls

Borrado de los archivos de claves de Truecrypt después de que se haya montado el volumen Ataques en SSL y SSH

score 4 · Answer 1

Las suites de cifrado en SSL / TLS no especifican tamaños mínimos o máximos para las claves asimétricas involucradas en el intercambio de claves o los certificados (los antiguos conjuntos de cifrado de "exportación" especificaron tamaños máximos, pero estos han quedado en desuso). El Anexo F.1.1.3 contiene este texto:

Debido a que TLS permite que el servidor proporcione grupos DH arbitrarios, la el cliente debe verificar que el grupo DH es de tamaño adecuado según lo definido Por política local.

lo que significa que depende de implementations hacer cumplir las restricciones de tamaño que desean que se apliquen.

En práctica , las claves RSA y DH que son demasiado pequeñas (más pequeñas que 512 bits) serán rechazadas por muchas implementaciones (y cuando se usa el intercambio de claves RSA sin DHE, hay un mínimo absoluto de 465 bits para el módulo RSA, de lo contrario, el intercambio de claves no puede tener lugar en absoluto). Muchas implementaciones también rechazarán claves más allá de un tamaño bastante grande (por ejemplo, más de 4096 bits), debido a restricciones internas en la implementación.

Si desea asegurarse de que las teclas cortas harán que falle el protocolo de enlace, entonces tiene que configurarlo o implementarlo en el sistema que controla (cliente o servidor).

Microsoft ha introducido una actualización que desactiva el soporte para claves RSA y DSA de menos de 1024 bits, lo que implica que antes a esta actualización, fueron admitidos . Sin embargo, el grupo Diffie-Hellman utilizado con DHE no pertenece a la capa de certificados, sino que es elegido por el propio código del servidor SSL.