Neue CA Key type ECDSA - prime256v1

slu

Ich werde in den nächsten Monaten eine neue CA anlegen (müssen), seither hatten wir immer RSA 4096 verwendet.

Jetzt kann man als Key type auch ECDSA angeben (kann es sein das früher nur RSA ging?) und
es wird automatisch prime256v1 vorgeschlagen.

Macht prime256v1 Sinn oder lieber gleich was anderes (stärkeres) verwenden?
Wenn ja was würde man da nehmen?

https + OpenVPN

JeGr

@slu Primär ist alles >2048 RSA eigentlich noch "gut". Also würde rein technisch/theoretisch aufn RSA 4k genauso gut laufen.

That said:

Jetzt kann man als Key type auch ECDSA angeben (kann es sein das früher nur RSA ging?) und

Jap genau. Früher ging in der CA Verwaltung nur RSA. Was auch an der Browser compat. lag, viele Geräte konnten (und einige können leider immer noch) nichts mit ECDSA anfangen.

Macht prime256v1 Sinn oder lieber gleich was anderes (stärkeres) verwenden?

Prime256v1 ist - wenn ich nicht völlig daneben bin - auch als NIST P-256 bzw. secp256r1 bekannt. Das müssten alles Aliase für die gleiche Kurve sein. Die "secpXXXr1" propagiere ich ja bereits bei OpenVPN bzw. IPSec schon länger. Man darf diese aber nicht mit den anderen Kurven von VPNs durcheinander werfen wie bspw. die, welche als DH Gruppe 22-24 verwendet werden. Diese sind als suspekt und ggf. insecure anzusehen. Man kann sie in pfSense 2.5+ deshalb auch nur noch bei IPSec wegen Kompatibilität auswählen. Aber für neue Verbindungen sollte man entweder auf >2k RSA oder DH19-21 oder DH31 setzen. Brainpool ist nett (und ich glaube auch ne deutsche Nummer), aber nicht gut in HW berechenbar, da sind die NIST Kurven besser.

Long story short:

secp256r1 (wichtig r1 nicht k1)
secp384r1

sind die beiden Kurven der Wahl die man benutzen möchte (gerade für VPNs).

Wenn ja was würde man da nehmen?

Muss man nicht, wenn man aber 384 nutzen mag, dann secp384r1. Es hat da seinen Grund, warum die Curve-Selection bei OpenVPN drastisch abgespeckt wurde und nur noch die 3 NIST Kurven enthält:

• prime256v1 aka secp256r1
• secp384r1
• secp521r1 (ja 521 nicht 512 :)

256er reicht aber eigentlich ganz gut.

Für OpenVPN ist das Safe.
Für HTTPS sollte es das auch sein, aber: ggf. prüfen was man für Clients hat. Alte Kiste, InternetOfShit Devices from OuterSpace (oder old times) oder manches komisch krude Apple Device mag ggf. keine ECDSA Kurven in Zertifikaten. Vorher schlau machen, kurz prüfen, ansonsten nutzen und ausrollen :)

Cheers

Edit: Almost forgot: Es wäre natürlich schön, wenn man EC25519 nutzen könnte (die Ableitung davon wird bei SSH als ED25519 ja bereits lange genutzt), aber leider ist da aktuell nur mit DH31 in IPSec möglich, OpenSSL und CO haben hier leider noch keine neueren Kurven hinzugefügt. Ansonsten wenn man ultra-secure sein möchte, kann man sicher mit secp521r1 nichts verkehrt machen. Selbst DJB (Bernstein) sagt, dass P-521 ne recht schöne Primkurve ist und die meisten Crypto Bibliotheken unterstützen sie inzwischen :)

slu

@jegr said in Neue CA Key type ECDSA - prime256v1:

secp384r1

Dann probiere ich die secp384r1 und schaue was meine Geräte damit anfangen können.
Vielen Dank für die Erklärung.

JeGr

@slu Kurzer Edit noch oben :)

slu

@jegr dann probiere ich doch gleich die secp521r1 wenn ich schon eine neue CA über einige Jahre ausstelle... ;)

Edit:
Bei secp521r1 wird kein [https] aufgeführt, vermutlich weil es noch nicht die große Masse unterstützt?

JeGr

@slu gut denkbar