Oggi sto leggendo la sfida di factoring RSA . Ho pensato a me stesso che se chiunque dovesse dipendere da RSA-512 (usando TLS_RSA_xxxx) per proteggere la propria connessione TLS anni fa, le informazioni che desiderano proteggere non saranno più protette oggi. Pertanto, se qualcuno riuscirà a risolverlo in futuro, penso che lo stesso valga per RSA-1024 o 2048.
Quindi supponiamo che se vogliamo proteggere i nostri dati protetti TLS come per sempre, è PFS la strada da percorrere?
PFS riguarda la resistenza al compromesso chiave, non la crescente potenza computazionale.
Se hai paura dei computer convenzionali più veloci, utilizza dimensioni chiave sufficienti. per esempio. una chiave RSA a 4096 bit o una chiave ECC da 256 a 512 bit. Almeno per il caso chiave ECC a 512 bit, possiamo tranquillamente affermare che i computer convenzionali che stanno diventando più veloci non rappresentano una minaccia.
Sfortunatamente le grandi chiavi RSA diventano piuttosto lente, quindi ad alti livelli di sicurezza è preferibile l'ECC.
Per SSL il modo più semplice per ottenere la riservatezza di ECC è l'utilizzo delle suite ECDHE forward avanzate. Ma che queste suite offrono sia PFS che livelli di sicurezza più elevati è puramente casuale, il livello di sicurezza in bit e PFS non sono direttamente correlati.
= > Vai con le suite ECDHE dove disponibili. Offrono entrambi PFS e livelli di sicurezza più elevati con prestazioni decenti.
Per la sicurezza a lungo termine, mi preoccuperei di più dei computer quantistici, che uccidono sia ECC che RSA usando l'algoritmo di Shor e i progressi matematici che potrebbero violare uno di essi o entrambi.
Leggi altre domande sui tag tls