La società per cui lavoro ha alcuni server OpenVPN utilizzati da oltre 200 dipendenti. I server sono stati implementati alcuni anni fa utilizzando le impostazioni predefinite di easyrsa e ora vogliamo eseguire l'aggiornamento a crittografia e autenticazione più potenti. È possibile modificare senza problemi la CA a 1024 bit, come emettere una CA a 2048 bit e firmarla con quella precedente?
Per i bit in cui viene utilizzato RSA, OpenVPN in realtà utilizza SSL / TLS , in cui le chiavi asimmetriche vengono utilizzate come parte dei certificati X.509 . Non esiste una limitazione intrinseca (*) per le dimensioni della chiave nei certificati X.509, quindi il passaggio a chiavi a 2048 bit dovrebbe "funzionare". Le chiavi più grandi possono avere alcune limitazioni interne in alcune implementazioni, ma OpenVPN utilizza OpenSSL che è perfettamente all'altezza del compito.
Probabilmente, le implementazioni SSL che non possono usare chiavi RSA più grandi di 1024 bit dovrebbero essere cambiate, perché sono sciatte. RSA a 1024 bit non è (ancora) spezzato (il record corrente è per una chiave a 768 bit ) ma sembra essere alla portata della tecnologia attuale (utilizzando una notevole quantità di milioni di dollari e una macchina molto specifica da costruire). Vari corpi (ad esempio NIST) hanno strongmente raccomandato di passare a chiavi più grandi per diversi anni. Pertanto, un'implementazione che non supporta chiavi RSA più grandi di 1024 bit è probabilmente non mantenuta, il che non è mai una buona cosa.
(*) In realtà la lunghezza di un certificato X.509 ben formato è limitato a 702223880805592151456759840151962786569522257399338504974336254522393264865238137237142489540654437582500444843247630303354647534431314931612685275935445798350655833690880801860555545317367555154113605281582053784524026102900245630757473088050106395169337932361665227499793929447186391815763110662594625664 byte, che consente per una chiave RSA massimo length di meno 5617791046444737211654078721215702292556178059194708039794690036179146118921905097897139916325235500660003558745981042426837180275450519452901482207483566386805246669527046414884444362538940441232908842252656430276192208823201965046059784704400851161354703458893321819998351435577491134526104885300757005312 bit (avete per rendere conto di qualche migliaio di bit per gli altri campi del certificato).
Da alcuni googling sembra possibile utilizzare "certificati impilati" per ottenere ciò che si desidera. Fondamentalmente
Probabilmente vorrai anche passare a parametri DH più forti (easy-rsa usa parametri DH della stessa dimensione delle chiavi RSA, quindi se hai RSA a 1024 bit probabilmente hai anche 1024 bit dh). Afaict puoi semplicemente scambiare i parametri DH sul server senza interrompere il servizio.
Leggi altre domande sui tag public-key-infrastructure rsa openvpn