Conjuntos de cifrado TLS y PKI

1

Actualmente estoy intentando averiguar qué algoritmos criptográficos son aplicables cuando se utiliza la autenticación mutua para TLS con certificados PKI.

Entonces, cuando estoy creando inicialmente un certificado, primero creo un par de claves pública / privada. Luego dejo que algunos CA firmen mi clave pública con información adicional.

Entonces, si quiero usar ese certificado para autenticarme al inicio de una sesión TLS, ¿tengo que elegir un algoritmo de firma asimétrica para crear ese par de claves públicas / privadas iniciales? ¿Un algoritmo de cifrado asimétrico no funciona? Entonces, por ejemplo, no tengo permiso para usar DLIES o ECIES, pero tengo que usar algo como ECDSA o DSA / DSS.

    
pregunta Sushiman 25.10.2018 - 20:22
fuente

1 respuesta

1

Hay un montón de preguntas rodadas allí. Desenredante:

  
  1. ¿Tengo que elegir un algoritmo de firma asimétrica para crear ese par de claves públicas / privadas iniciales?
  2.   
  3. ¿Un algoritmo de cifrado asimétrico no funciona?
  4.   
  5. No tengo permiso para usar DLIES o ECIES, pero ¿tengo que usar algo como ECDSA o DSA / DSS?
  6.   

Para empezar, para ver qué existen las suites de cifrado TLS, por lo general reviso lo que openssl admite: enlace

Hay demasiado para reproducir aquí, pero los patrones básicos en cuanto a tu pregunta son:

TLS_RSA_WITH_*
TLS_[EC]DHE_RSA_WITH_*
TLS_[EC]DHE_DSS_WITH_*
TLS_[EC]DHE_ECDSA_WITH_*

Entonces, para responder 1 y 2, no tienes para elegir un algoritmo de firma, pero actualmente el único algoritmo de cifrado asimétrico con amplia adopción entre las bibliotecas TLS es RSA.

Respuesta similar para 3; RSA, DSS, ECDSA son los algoritmos de firma con más garantías de ser ampliamente admitidos.

Por supuesto, podría escribir su propio openssl o JSSE crypto module para proporcionar el conjunto de cifrado TLS_ECIES_WITH_* , pero se encontraría con problemas de compatibilidad bastante rápido si trata de usarlo para hablar con otra cosa que no sea su propio software.

    
respondido por el Mike Ounsworth 25.10.2018 - 20:57
fuente

Lea otras preguntas en las etiquetas