Selezione della curva in ECC per openssl 1.0.1?

2

Sto usando entrambe le versioni di openssl 1.0.1 e openssl 1.0.2: in openssl 1.0.2 ha una funzione che consiste nell'impostare automaticamente la curva delle preferenze più alte.

Tuttavia, in openSSL 1.0.1 non esiste alcuna funzione per impostare automaticamente la curva delle preferenze più elevate.

Devo impostare la curva manualmente. Non ho molta conoscenza di ECC quindi qualcuno può guidarmi quale curva è la migliore e più sicura?

#if OPENSSL_VERSION_NUMBER >= 0x1000200fL

      /* Set automatic curve selection for server ssl to onoff.If onoff is 1 then 
      the highest preference curve is automatically used for ECDH temporary keys 
      used during key exchange. */
      (void)SSL_set_ecdh_auto(ssl, 1);

#elif OPENSSL_VERSION_NUMBER < 0x1000200fL


      sECDH = EC_KEY_new_by_curve_name(NID_X9_62_prime256v1);    //  secp256r1 curve - referred as prime256v1
      (void)SSL_set_tmp_ecdh(ssl, sECDH);

#endif

Grazie!

    
posta Devang Kubavat 03.10.2016 - 13:45
fonte

2 risposte

1

Risposta breve: secp256r1 secp384r1 e secp521r1 sono tutte buone scelte conservative. secp256r1 attualmente ha una migliore compatibilità con i browser rispetto agli altri, per maggiori dettagli, vedi questa domanda .

Se i tuoi clienti sono aggiornati (ovvero i browser moderni), ti consigliamo curve25519 . È stato inventato da Daniel J. Bernstein (un professore universitario famoso nel mondo della crittografia) ed è stato molto trasparente su come ha inventato i numeri casuali, quindi non c'è alcuna possibilità di backdoor governativi in quella curva. Ha anche prestazioni migliori rispetto alle curve NIST P- * [wikipedia]

Ma in realtà, qualsiasi cosa supportata da openssl va bene a meno che tu non sia un'organizzazione militare o una banca, nel qual caso smetti di postare qui e assumi un esperto di sicurezza!

    
risposta data 31.01.2017 - 21:11
fonte
-1

Questo diventa chiesto qui abbastanza frequentemente, ma probabilmente quello più applicabile è: Quale curva ellittica dovrei usare?

    
risposta data 03.10.2016 - 17:00
fonte

Leggi altre domande sui tag