TLS_RSA tipo ciphersuite e PFS

0

Oggi sto leggendo la sfida di factoring RSA . Ho pensato a me stesso che se chiunque dovesse dipendere da RSA-512 (usando TLS_RSA_xxxx) per proteggere la propria connessione TLS anni fa, le informazioni che desiderano proteggere non saranno più protette oggi. Pertanto, se qualcuno riuscirà a risolverlo in futuro, penso che lo stesso valga per RSA-1024 o 2048.

Quindi supponiamo che se vogliamo proteggere i nostri dati protetti TLS come per sempre, è PFS la strada da percorrere?

    
posta Ryu 23.10.2013 - 11:44
fonte

1 risposta

2

PFS riguarda la resistenza al compromesso chiave, non la crescente potenza computazionale.

Se hai paura dei computer convenzionali più veloci, utilizza dimensioni chiave sufficienti. per esempio. una chiave RSA a 4096 bit o una chiave ECC da 256 a 512 bit. Almeno per il caso chiave ECC a 512 bit, possiamo tranquillamente affermare che i computer convenzionali che stanno diventando più veloci non rappresentano una minaccia.

Sfortunatamente le grandi chiavi RSA diventano piuttosto lente, quindi ad alti livelli di sicurezza è preferibile l'ECC.

Per SSL il modo più semplice per ottenere la riservatezza di ECC è l'utilizzo delle suite ECDHE forward avanzate. Ma che queste suite offrono sia PFS che livelli di sicurezza più elevati è puramente casuale, il livello di sicurezza in bit e PFS non sono direttamente correlati.

= > Vai con le suite ECDHE dove disponibili. Offrono entrambi PFS e livelli di sicurezza più elevati con prestazioni decenti.

Per la sicurezza a lungo termine, mi preoccuperei di più dei computer quantistici, che uccidono sia ECC che RSA usando l'algoritmo di Shor e i progressi matematici che potrebbero violare uno di essi o entrambi.

    
risposta data 23.10.2013 - 12:00
fonte

Leggi altre domande sui tag