DH parámetros recomendados tamaño?

13

Estoy configurando EAP-TLS en mi enrutador inalámbrico, y actualmente estoy generando parámetros DH para FreeRADIUS.

Primero, ¿qué hacen estos parámetros? Además, ¿de qué tamaño deben ser?

He estado generando los parámetros actuales durante algún tiempo:

openssl dhparam -check -text -5 4096 -out dh

El tutorial que estaba siguiendo recomendaba un tamaño de parámetro DH de 512 bits, pero soy un poco odio de papel de aluminio. ¿Cuáles son las implicaciones de seguridad del tamaño y la fuerza de estos parámetros?

    
pregunta Naftuli Kay 17.12.2013 - 22:24
fuente

2 respuestas

15

Diffie-Hellman no es más fuerte que el Problema de logaritmo discreto en el subgrupo multiplicativo de enteros modulo a prime p . Un primo más grande p hace que DL sea más difícil. El registro actual (en círculos académicos) es para un módulo principal de 530 bits. Aunque tomó bastante esfuerzo computacional, la lección es que el DH de 512 bits se puede romper con la tecnología existente. Por lo tanto, un atacante que observe su tráfico podría (a un precio) romper el mecanismo de intercambio de claves, recuperar la clave de sesión y descifrar sus datos. Además, los algoritmos de ruptura de DL tienden a ser acumulativos, es decir, romper sesiones ulteriores con el mismo módulo sería más fácil.

Las recomendaciones actuales de varios cuerpos (incluido el NIST) requieren un módulo de 2048 bits para DH. Los algoritmos conocidos para romper el DH tendrían un costo tan ridículamente alto que no podrían ejecutarse con la tecnología conocida basada en la Tierra. Consulte este sitio para obtener sugerencias sobre ese tema.

No desea exagerar el tamaño porque el costo de uso computacional aumenta relativamente con el tamaño principal (en algún lugar entre cuadrático y cúbico, dependiendo de algunos detalles de la implementación), pero un DH de 2048 bits debería estar bien (un mínimo básico La PC de finalización puede hacer varios cientos de 2048 bits DH por segundo).

    
respondido por el Tom Leek 17.12.2013 - 22:34
fuente
6

Para una longitud de bit dada, descifrar un conjunto de parámetros dh es un poco más difícil que descifrar una clave RSA.

Una vez que el conjunto de parámetros dh se rompe, agrietar sesiones dh individuales es relativamente fácil. Por lo tanto, es más seguro utilizar los parámetros dh generados localmente que los conocidos.

Por lo tanto, la regla de oro que usaría sería usar parámetros dh autogenerados de la misma longitud que las claves RSA que usas.

512 bit ahora está trivialmente agrietado.

768 bit está probablemente al alcance de la computación de alto rendimiento académico para crackear.

1024 bit está probablemente al alcance de los estados nacionales para romper. Existe alguna evidencia de que la NSA puede haber descifrado el conjunto más común de parámetros dh de 1024 bits.

enlace

2048 bit se espera que sea seguro. Sin embargo, hace años, la gente esperaba que 1024 bits estuvieran a salvo, por lo que si persigue una resistencia a largo plazo, subiría a 4096 bits (tanto para las claves RSA como para los parámetros DH).

    
respondido por el Peter Green 25.06.2015 - 05:31
fuente

Lea otras preguntas en las etiquetas