• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Neue CA Key type ECDSA - prime256v1

Scheduled Pinned Locked Moved Allgemeine Themen
6 Posts 2 Posters 1.6k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • S
    slu
    last edited by Jun 28, 2021, 8:43 AM

    Ich werde in den nächsten Monaten eine neue CA anlegen (müssen), seither hatten wir immer RSA 4096 verwendet.

    Jetzt kann man als Key type auch ECDSA angeben (kann es sein das früher nur RSA ging?) und
    es wird automatisch prime256v1 vorgeschlagen.

    Macht prime256v1 Sinn oder lieber gleich was anderes (stärkeres) verwenden?
    Wenn ja was würde man da nehmen?

    https + OpenVPN

    pfSense Gold subscription

    J 1 Reply Last reply Jun 28, 2021, 2:32 PM Reply Quote 0
    • J
      JeGr LAYER 8 Moderator @slu
      last edited by JeGr Jun 28, 2021, 3:02 PM Jun 28, 2021, 2:32 PM

      @slu Primär ist alles >2048 RSA eigentlich noch "gut". Also würde rein technisch/theoretisch aufn RSA 4k genauso gut laufen.

      That said:

      Jetzt kann man als Key type auch ECDSA angeben (kann es sein das früher nur RSA ging?) und

      Jap genau. Früher ging in der CA Verwaltung nur RSA. Was auch an der Browser compat. lag, viele Geräte konnten (und einige können leider immer noch) nichts mit ECDSA anfangen.

      Macht prime256v1 Sinn oder lieber gleich was anderes (stärkeres) verwenden?

      Prime256v1 ist - wenn ich nicht völlig daneben bin - auch als NIST P-256 bzw. secp256r1 bekannt. Das müssten alles Aliase für die gleiche Kurve sein. Die "secpXXXr1" propagiere ich ja bereits bei OpenVPN bzw. IPSec schon länger. Man darf diese aber nicht mit den anderen Kurven von VPNs durcheinander werfen wie bspw. die, welche als DH Gruppe 22-24 verwendet werden. Diese sind als suspekt und ggf. insecure anzusehen. Man kann sie in pfSense 2.5+ deshalb auch nur noch bei IPSec wegen Kompatibilität auswählen. Aber für neue Verbindungen sollte man entweder auf >2k RSA oder DH19-21 oder DH31 setzen. Brainpool ist nett (und ich glaube auch ne deutsche Nummer), aber nicht gut in HW berechenbar, da sind die NIST Kurven besser.

      Long story short:

      secp256r1 (wichtig r1 nicht k1)
      secp384r1

      sind die beiden Kurven der Wahl die man benutzen möchte (gerade für VPNs).

      Wenn ja was würde man da nehmen?

      Muss man nicht, wenn man aber 384 nutzen mag, dann secp384r1. Es hat da seinen Grund, warum die Curve-Selection bei OpenVPN drastisch abgespeckt wurde und nur noch die 3 NIST Kurven enthält:

      • prime256v1 aka secp256r1
      • secp384r1
      • secp521r1 (ja 521 nicht 512 :)

      256er reicht aber eigentlich ganz gut.

      Für OpenVPN ist das Safe.
      Für HTTPS sollte es das auch sein, aber: ggf. prüfen was man für Clients hat. Alte Kiste, InternetOfShit Devices from OuterSpace (oder old times) oder manches komisch krude Apple Device mag ggf. keine ECDSA Kurven in Zertifikaten. Vorher schlau machen, kurz prüfen, ansonsten nutzen und ausrollen :)

      Cheers

      Edit: Almost forgot: Es wäre natürlich schön, wenn man EC25519 nutzen könnte (die Ableitung davon wird bei SSH als ED25519 ja bereits lange genutzt), aber leider ist da aktuell nur mit DH31 in IPSec möglich, OpenSSL und CO haben hier leider noch keine neueren Kurven hinzugefügt. Ansonsten wenn man ultra-secure sein möchte, kann man sicher mit secp521r1 nichts verkehrt machen. Selbst DJB (Bernstein) sagt, dass P-521 ne recht schöne Primkurve ist und die meisten Crypto Bibliotheken unterstützen sie inzwischen :)

      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

      S 1 Reply Last reply Jun 28, 2021, 3:00 PM Reply Quote 1
      • S
        slu @JeGr
        last edited by Jun 28, 2021, 3:00 PM

        @jegr said in Neue CA Key type ECDSA - prime256v1:

        secp384r1

        Dann probiere ich die secp384r1 und schaue was meine Geräte damit anfangen können.
        Vielen Dank für die Erklärung.

        pfSense Gold subscription

        J 1 Reply Last reply Jun 28, 2021, 3:02 PM Reply Quote 1
        • J
          JeGr LAYER 8 Moderator @slu
          last edited by Jun 28, 2021, 3:02 PM

          @slu Kurzer Edit noch oben :)

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          S 1 Reply Last reply Jun 28, 2021, 3:04 PM Reply Quote 0
          • S
            slu @JeGr
            last edited by slu Jun 28, 2021, 3:12 PM Jun 28, 2021, 3:04 PM

            @jegr dann probiere ich doch gleich die secp521r1 wenn ich schon eine neue CA über einige Jahre ausstelle... ;)

            Edit:
            Bei secp521r1 wird kein [https] aufgeführt, vermutlich weil es noch nicht die große Masse unterstützt?

            pfSense Gold subscription

            J 1 Reply Last reply Jun 28, 2021, 4:04 PM Reply Quote 0
            • J
              JeGr LAYER 8 Moderator @slu
              last edited by Jun 28, 2021, 4:04 PM

              @slu gut denkbar

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              6 out of 6
              • First post
                6/6
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                This community forum collects and processes your personal information.
                consent.not_received