Parametri consigliati DH dimensioni?

13

Sto configurando EAP-TLS sul mio router wireless e sto generando attualmente parametri DH per FreeRADIUS.

Innanzitutto, cosa fanno questi parametri? Inoltre, che taglia dovrebbero essere?

Ho generato i parametri attuali per un po 'di tempo:

openssl dhparam -check -text -5 4096 -out dh

Il tutorial che stavo seguendo raccomandava una dimensione del parametro DH a 512 bit, ma io sono un po 'un latta-foil-hatter. Quali sono le implicazioni sulla sicurezza delle dimensioni e della forza di questi parametri?

    
posta Naftuli Kay 17.12.2013 - 22:24
fonte

2 risposte

15

Diffie-Hellman non è più strong del problema Logaritmo discreto nel sottogruppo moltiplicativo di interi modulo a prime p . Un più grande p rende DL più difficile. Il record corrente (nei circoli accademici) è per un modulo primario a 530 bit. Sebbene ci sia voluto un po 'di sforzo computazionale, la lezione è che DH da 512 bit è fragile con la tecnologia esistente. Un utente malintenzionato che osserva il proprio traffico potrebbe quindi (a un prezzo) interrompere il meccanismo di scambio delle chiavi, recuperare la chiave di sessione e decrittografare i dati. Inoltre, gli algoritmi DL-breaking tendono ad essere cumulativi, cioè rompendo ulteriori sessioni con lo stesso modulo sarebbe più facile.

Le attuali raccomandazioni di vari enti (incluso il NIST) richiedono un modulo di 2048 bit per la DH. Gli algoritmi noti per la rottura del DH avrebbero un costo così ridicolmente alto da non poter essere portati a termine con la nota tecnologia basata sulla Terra. Vedi questo sito per i suggerimenti su questo argomento.

Non si vuole esagerare con le dimensioni perché il costo dell'utilizzo computazionale aumenta in maniera relativamente significativa con le dimensioni primarie (da qualche parte tra quadratico e cubico, a seconda di alcuni dettagli di implementazione) ma un DH da 2048 bit dovrebbe essere soddisfacente (un minimo di base -end PC può fare diverse centinaia di DH a 2048 bit al secondo)

    
risposta data 17.12.2013 - 22:34
fonte
6

Per una data lunghezza di cracking un set di parametri dh è un po 'più difficile di crackare una chiave RSA.

Una volta che la serie di parametri dh è decifrata, il cracking delle singole sessioni dh è relativamente facile. Pertanto sei più sicuro usando i parametri dh generati localmente rispetto a quelli conosciuti.

Quindi la regola empirica che utilizzerei sarebbe quella di utilizzare parametri dh generati automaticamente della stessa lunghezza delle chiavi RSA che usi.

512 bit è ora banalmente rotto.

768 bit è probabilmente alla portata del calcolo accademico ad alte prestazioni da decifrare.

1024 bit è probabilmente alla portata degli stati nazionali da decifrare. Esistono prove che l'NSA potrebbe aver violato il set più comune di parametri a 1024 bit dh.

link

In genere si prevede che il 2048 bit sia sicuro. Tuttavia anni fa le persone si aspettavano 1024 bit per essere sicuri, quindi se si sta cercando una resistenza a lungo termine, andrei fino a 4096 bit (sia per le chiavi RSA che per i parametri DH).

    
risposta data 25.06.2015 - 05:31
fonte

Leggi altre domande sui tag