¿Por qué elegiría SHA-256 en lugar de SHA-512 para un certificado SSL / TLS?

Navega tus respuestas
37

Estoy buscando renovar un certificado comodín SSL (bueno, TLS) con un servicio conocido. Necesito proporcionar un CSR, que he creado usando una clave de 2048 bits. También necesito elegir un hash de firma. El servicio ofrece tres opciones: SHA-256 , SHA-384 y SHA-512 . De estos, SHA-256 es el predeterminado.

Esto me confunde. ¿No se presume que un hash más largo es siempre más fuerte? ¿Existe una buena razón por la que podría querer el hash de firma de 256 bits más pequeño sobre el 512 más grande o es probable que sea solo un error de UI? ¿Hay algunas aplicaciones que todavía no pueden utilizar hashes de 512 bits?

    
pregunta Joel Coehoorn 19.07.2017 - 16:58
fuente

2 respuestas

57

Desde una perspectiva de seguridad, sería bastante inútil. En términos prácticos, SHA-256 es tan seguro como SHA-384 o SHA-512. No podemos producir colisiones en ninguno de ellos con la tecnología actual o previsible, por lo que la seguridad que obtiene es idéntica.

Desde una perspectiva no relacionada con la seguridad, las razones para elegir SHA-256 en los resúmenes más largos probablemente sean más evidentes. Es más pequeño, requiere menos ancho de banda para almacenar y transmitir, menos memoria y, en muchos casos, menos capacidad de procesamiento para calcular. (Hay casos en los que SHA-512 es más rápido y más eficiente.)

En tercer lugar, es probable que haya problemas de compatibilidad. Ya que prácticamente nadie usa certificados con SHA-384 o SHA-512, es mucho más probable que se encuentre con sistemas que no los entienden. Probablemente haya menos problemas ahora que en el pasado, pero nuevamente, usted se está comprando el riesgo de no obtener ganancias.

Por lo tanto, en este momento, no hay ventajas claras al elegir SHA-384 o SHA-512, pero existen desventajas obvias. Esta es la razón por la cual SHA-256 es la opción universal para los certificados modernos para sitios web.

    
respondido por el Xander 19.07.2017 - 18:09
fuente
18

La única ventaja real que SHA-512 podría tener sobre SHA-256 es resistencia a la colisión , un término que en criptografía tiene un significado muy estrecho . SHA-256 reclama resistencia a la colisión de 128 bits, SHA-512 reclama 256 bits. Si o cuando se construye una computadora cuántica , es posible que necesitemos la resistencia a la colisión de 256 bits.

Dado que los certificados SSL suelen tener fechas de caducidad en un plazo relativamente corto, está bien obtener un certificado SHA-256 hoy, ya que caducará antes de que se construya una computadora cuántica práctica (si es que alguna vez sucede).

Aparte de eso:

  • Las salidas de SHA-256 son más cortas, lo que ahorra ancho de banda.
  • El hardware diferente favorece las diferentes funciones. SHA-512 es generalmente más rápido en procesadores de 64 bits, SHA-256 más rápido en procesadores de 32 bits. (Pruebe el comando openssl speed sha256 sha512 en su computadora).
  • SHA-512/256 se encuentra justo entre las dos funciones: el tamaño de salida y la seguridad nivel de SHA-256 con el rendimiento de SHA-512, pero casi ningún sistema lo usa hasta ahora.
respondido por el Luis Casillas 19.07.2017 - 22:45
fuente

Lea otras preguntas en las etiquetas

¿Es posible la inyección de SQL con LIMIT? Riesgo de manipulación indebida cuando el envío de hardware se retrasa