En X.509, una CA puede usar cualquier algoritmo de firma, independientemente del tipo de clave en los certificados firmados. Teóricamente , si tanto la CA como el certificado firmado utilizan claves DSA o EC, y las dos claves comparten los mismos parámetros de grupo (es decir, trabajo sobre la misma curva, para las claves EC), la designación de La curva puede omitirse en el certificado firmado. Para las claves EC, esto puede ahorrar una docena de bytes, y PKIX (el grupo responsable del perfil de Internet X.509 ) prohibe explícitamente esta "optimización". Por lo tanto, declaro con confianza que no hay un vínculo entre los tipos de claves en un certificado de CA y los certificados que emite CA.
El soporte de EC en el software implementado existente basado se puede describir como "escamoso". Aunque X9.62 especifica cómo codificar parámetros para claves EC en curvas bastante arbitrarias , casi todos implementan solo un conjunto limitado de "curvas conocidas", en su mayoría de las 15 curvas de FIPS 186-3 . En realidad, entre estas 15 curvas, solo dos de ellas (P-256 y P-384) tienen soporte no anecdótico en los navegadores existentes. Estas dos curvas son el "mínimo indispensable" del soporte de la CE según la "suite B" de la NSA (una recomendación de la NSA para personas que no pertenecen a la NSA: lo que constituye la "suite A" no se conoce públicamente).
Además, X9.62 define claramente cómo se debe calcular una firma ECDSA para cada combinación de función de hash y curva (es decir, cómo deben truncarse o expandirse los valores de hash para ajustarse al orden del grupo de curvas). Como era de esperar, los implementadores se equivocaron, y muchos creen que con P-256 (respectivamente P-384) solo se puede usar SHA-256 (respectivamente SHA-384). Por lo tanto, si utiliza cualquier otra función hash, se ejecutará en problemas de interoperabilidad (es decir, más problemas que los que obtendrá simplemente por intentar utilizar un algoritmo que no nació en la era Disco).
El lado positivo es que P-256 con SHA-256 es, por seguridad, "bien" (me encanta esa palabra). El lado oscuro es que incluso con la combinación más compatible, se tendrá problemas con los navegadores antiguos (y hay lugares que son bastante conservadores con respecto a las actualizaciones, en mi lugar de trabajo, el único navegador permitido) es IE 7!). Así que necesitas un plan de respaldo. Dado que la copia de seguridad debe ser una PKI RSA completa (RSA en todas partes desde la raíz hasta el servidor y los certificados de usuario) para la compatibilidad, y en última instancia, desea cambiar a una PKI de la EC completa, entonces necesita dos raíces, una con RSA y uno con EC. Puede suavizar las transiciones en cierta medida con certificados cruzados, pero es una lata de gusanos.