Hoy, mientras estoy leyendo sobre el desafío de factoring de RSA . Pensé para mí mismo que si la persona que dependiera de RSA-512 (mediante el uso de TLS_RSA_xxxx) para asegurar su conexión TLS hace años, la información que desean proteger ya no estará protegida hoy. Por lo tanto, si alguien logra resolverlo en el futuro, creo que lo mismo ocurre con RSA-1024 o 2048.
Entonces, supongamos que si queremos asegurar nuestros datos protegidos con TLS para siempre, ¿es PFS el camino a seguir?
PFS tiene que ver con la resistencia al compromiso clave, no con el aumento del poder computacional.
Si le temen las computadoras convencionales más rápidas, use suficientes tamaños de clave. p.ej. una clave RSA de 4096 bits o una clave ECC de 256 a 512 bits. Al menos para el caso clave de ECC de 512 bits, podemos decir con seguridad que las computadoras convencionales cada vez más rápidas no son una amenaza.
Desafortunadamente, las claves RSA grandes se vuelven bastante lentas, por lo que a niveles de seguridad altos, es preferible ECC.
Para SSL, la forma más fácil de obtener ECC para la confidencialidad es usar las suites ECDHE seguras. Pero el hecho de que esas suites ofrezcan PFS y niveles de seguridad más altos es simplemente una coincidencia, el nivel de seguridad en bits y PFS no está directamente relacionado.
= > Vaya con las suites ECDHE donde estén disponibles. Ofrecen PFS y niveles de seguridad más altos con un rendimiento decente.
Para la seguridad a largo plazo, me preocuparía más por las computadoras cuánticas, que destruyen tanto el ECC como el RSA usando el algoritmo de Shor y los avances matemáticos que podrían romper cualquiera de ellos, o ambos.
Lea otras preguntas en las etiquetas tls