it-swarm-korea.com

하위 인증서의 비트 강도 선택이 CA 또는 체인의 영향을 받아야합니까?

모든 것이 동일합니다. 1024 비트의 RSA 암호화가있는 CA 체인이 있다고 가정합니다. 이것은 하위 CA 또는 WebServer 인증서를 선택해도 더 높은 수준의 암호화로 인한 이점이 없음을 의미합니까?

이 질문에 대한 내 이론은 공격자가 1024 비트의 암호화를 사용하는 인증서를 공격하는 데 N 계산주기가 필요하면 체인에서 가장 높은 인증서를 공격 할 수도 있다는 것입니다.

상위 (1024 비트) 인증서의 만료일이 1 년이고 더 강력한 인증서 (4028 비트)의 만료일이 2 년 (또는 그 이상) 후에 만료되면 어떻게됩니까? 기술적으로 가능합니까? 유익한가요? 그렇다면 어떤 방식으로?

7
goodguys_activate

두 가지 질문을 한 것 같습니다.

최종 엔터티 인증서가 서명 체인의 CA보다 더 큰 키 공간을 갖도록하면 어떤 이점이 있습니까

결과가 혼합되어 있다는 다른 포스터에 동의하지만 일반적인 보안 기능으로 나누고 싶습니다.

  • 기밀성-기밀성을 위해 최종 엔터티 키 쌍을 사용하는 경우 (SSL 설정 중 키 암호화, 저장 또는 전송을위한 데이터 암호화) CA 서명자가 수행하는 작업에 관계없이 더 큰 키의 이점을 얻을 수 있습니다. 암호화를 깨는 것은 전적으로 개인 키를 찾는 것과 관련이 있습니다 (또는 알고리즘의 약점을 찾는 것).
  • 무결성-데이터 서명에 최종 엔터티 키 쌍을 사용하는 경우 signature 크래킹은 키의 강도와 연결됩니다. 그러나 무결성 검사는 종종 인증 검사와 결합됩니다 (아래 참조).
  • 인증-여기에 문제가 있습니다. CA의 개인 키가 추측하기 쉬운 경우 인증/거부 방지 기능이 감소합니다. 키 공간이 작아서 CA의 개인 키를 찾을 수 있다면 CA 인 척 할 수 있으며 you와 같은 크기의 인증서와 키 쌍을 만들 수 있습니다. 내가 제어하는 ​​키 쌍. 그것은 거의 발에 인증을 쏜다. 공격자가 구성된 신뢰할 수있는 인증서 중 하나를 에뮬레이트하기 때문에 신뢰할 수있는 CA 인증서 목록에 포착되지 않습니다. 그리고 침입이 발견 될 때까지 감지하기 어려울 것입니다. 또한 CA를 취소하는 것은 고통 스럽습니다. 최종 엔터티와 CA 체인의 상태를 모두 확인하는 모든 소비 시스템에서 인증서 상태를 확인하거나 CA에서 발급 한 모든 유효한 최종 엔터티를 취소해야합니다. 자체 서명 된 루트 인증서의 작은 키 공간에 대해 이야기하는 경우에는 더욱 어려워집니다. 루트를 상태 확인하는 방법은 없습니다. CA 시스템은 거대한 공개 경고를 발행하고 신뢰 당사자가 신뢰할 수있는 저장소에서 루트 및 모든 하위 CA를 제거하도록해야합니다.

  • 가용성-PKI의 가용성에 대해 생각할 때 권한이있는 사용자 만 서비스를 사용할 수 있도록 인증/액세스 제어에 PKI를 사용하는 방법을 생각합니다. 그런 점에서 가용성은 인증만큼이나 중요합니다.

요약-인증서를 무엇에 사용하고 있습니까? 기밀성과 순수한 무결성을 위해서만 사용한다면 그렇게 나쁘지 않습니다. 그러나 자주 PKI 보호 메커니즘이 이러한 범주를 혼합한다는 점을 명심하십시오. SSL 클라이언트 또는 서버 인증은 보안 채널 (기밀성)을 설정하는 방법이자 서버의 ID를 확인하는 방법 (인증)입니다. 이메일 서명은 전송을 변조 (무결성)하는 방법과 전송이 보낸 사람이 보낸 증거 (인증)입니다. 몹시 빨리 털이 많아집니다.

다음 질문...

내 최종 엔터티가이를 발행 한 CA보다 더 긴 유효성을 갖는 것이 유익하거나 가능합니까?

필자가 작업 한 PKI 시스템에서는 CA 인증서의 수명보다 더 긴 유효 기간으로 최종 엔터티 인증서를 발급 할 수 없습니다.

그러나 실제 경험에서 뒤로 물러나 X509 인증서에 대한 RFC를보고 있습니다. http://www.ietf.org/rfc/rfc3280.txt

Section 6.1.3  Basic Certificate Processing

체인의 각 인증서에 대한 유효 날짜 확인이 포함됩니다.

이 섹션은 다음의 일부입니다.

6.1  Basic Path Validation

   This text describes an algorithm for X.509 path processing.  A
   conformant implementation MUST include an X.509 path processing
   procedure that is functionally equivalent to the external behavior of
   this algorithm.  However, support for some of the certificate
   extensions processed in this algorithm are OPTIONAL for compliant
   implementations.  Clients that do not support these extensions MAY
   omit the corresponding steps in the path validation algorithm.

따라서 경로의 모든 인증서 (즉, 최종 엔티티, 모든 서명 CA 및 루트)에 대해 수행해야합니다.

유효성 검사는 선택적 확장이 아니며 인증서의 필수 부분입니다.

시스템이 경로 유효성 검사를 올바르게 수행하는 경우 최종 엔터티 인증서의 유효성이 더 길면 좋지 않습니다. 나는 그것이 허용되는지 더 멀리 보지 않았습니다. 나는 내가 테스트 한 CA 시스템이 이것을 허용하지 않는 설정을 가지고 있다고 믿지만, 어느 정도 창의력으로이 틀을 깨는 인증서를 생성 할 수 있었을지도 모른다고 생각합니다. 그러나 저는 시스템 관리자 권한과 강화 된 CA에서 사용할 수없는 화이트 박스 테스트 메커니즘을 사용하여이를 수행했습니다. 저는 또한 10 년 이상 전에 오늘날 더 이상 시장이 아닌 CA에서 그렇게했습니다. 마일리지는 다를 수 있습니다.

10
bethlakshmi

짧은 대답 : 예, 최종 엔터티가 CA의 공개 키보다 큰 공개 키를 선택하면 잠재적 인 이점이 있습니다.

질문은 완전히 명확하지 않지만 귀하의 상황은 루트 또는 부모가 1024 비트 RSA 키를 사용하고 (즉, 최종 엔터티의 인증서가 1024 비트 RSA 키로 서명 됨) 최종 엔터티가 2048 비트 RSA 키 (즉, 최종 호스트가 인증하고 사용하는 공개 키는 2048 비트 RSA 키임).

이 상황에서 1024 비트 최종 엔티티 인증서 대신 2048 비트 최종 엔티티 인증서를 사용하면 두 가지 잠재적 인 보안 이점을 볼 수 있습니다.

  • 1024 비트 RSA를 깰 수 있지만 2048 비트 RSA를 깰 수없고 도청 만 할 수 있지만 연결을 적극적으로 조작 할 수는 (또는 원하지 않는) 공격자로부터 안전합니다. 이에 비해 1024 비트 RSA 키를 사용한 경우 이러한 공격자는 RSA 개인 키를 복구하고 연결을 도청하고 암호화 된 트래픽을 해독 할 수 있습니다.

  • 앞으로 몇 년 안에 CA가 2048 비트 RSA로 전환된다고 가정하면 지금부터 5 년 후 1024 비트 RSA를 중단하지만 2048 비트 RSA를 중단 할 수없는 공격자로부터 안전합니다 (많은 CA가 수행하고 많은 브라우저에서 필요합니다). 이는 5 년 후 CA의 1024 비트 서명 키를 복구 할 수있는 공격자가 키가 더 이상 유효하지 않으면 그렇게해도 아무것도 얻지 못하기 때문입니다. CA의 서명 키는 공격자가 액세스 할 수있는 SSL 암호화 트래픽을 해독하는 데 도움이되지 않습니다 (오래 전에 기록한 오래된 트래픽도 아님). 공격자가 CA의 서명 키로 할 수있는 유일한 일은 새로운 가짜 인증서에 서명하고이를 사용하여 사용자에 대한 중간자 공격을 마운트하는 것입니다.하지만 CA의 루트 인증서와 1024 비트 공개 키가 더 이상 존재하지 않는 경우 지금부터 5 년 후 브라우저에서 허용되지만 공격자는 전혀 도움이되지 않습니다. 그는 너무 늦었습니다.

[또한, 지금 2048 비트 키를 선택하고이를 위해 인증서를 갱신해야하더라도 키를 변경해야하는 것과는 대조적으로 몇 년 동안 계속 사용할 수있는 키 관리 이점이있을 수 있습니다. 1 ~ 2 년. 명확히 말하면 이것은 보안상의 이점이 아닙니다. 미래의 어느 시점에서 키를 변경해야하는 것이 얼마나 성가 신지에 따라 잠재적 인 물류 이점 일뿐입니다.]

결론 : CA의 키보다 큰 최종 엔터티 키를 선택하면 몇 가지 이점이있을 수 있습니다. 그러나 이점이 압도적이거나 최종 엔터티 공개 키의 크기 만 중요하다고 주장하고 싶지 않습니다. 적극적인 공격을 수행 할 수 있고 기꺼이 수행 할 수 있고 CA 루트 인증서의 유효 기간 내에 1024 비트 RSA를 깰 수있는 강력한 공격자에 대해 어떤 크기의 공개 키를 선택하든 상관 없습니다.

11
D.W.

공격자가 사이트를 가장하려는 경우 최종 엔터티 키를 손상 시키거나 서명 CA 키 중 하나를 손상시켜 모든 도메인에 대해 자체 엔드 엔터티 인증서를 발급 할 수 있습니다. 당신을 포함하여. 이 공격에 대해 인증서 체인은 가장 약한 링크만큼 강력합니다.

공격자가 사이트에서 SSL로 암호화 된 트래픽을 읽으려는 경우 공격자는 최종 엔터티 키를 손상시켜야합니다. CA 키 손상은 여기서 도움이되지 않습니다. 이 공격이 염려된다면 더 긴 엔터티 키를 사용하는 것이 좋습니다. 또한이 특정 공격은 성능면에서 약간의 비용을 들여 임시 DH 암호 모음을 사용하여 예방할 수 있습니다.

서명 인증서보다 유효 기간이 더 긴 최종 엔터티 인증서가있는 경우 몇 가지 가능한 문제가 있습니다. 첫째, CA는 그러한 인증서를 발급하는 데 동의하지 않을 수도 있습니다. 유효 기간을 루트 인증서의 유효 기간으로 줄일 수 있습니다. 둘째, 그러한 인증서를 발급 받았다하더라도 체인에서 가장 빠른 인증서가 만료 되 자마자 체인은 확인에 실패합니다. 신뢰할 수있는 루트가 직접 서명 한 인증서의 경우 예외가있을 수 있습니다.

2
Tom Wu

웹 사이트 키 길이가 CA 키와 같으면 동일한 노력으로 더 많은 가치를 얻을 수 있으므로 공격자가 웹 사이트 키를 공격 할 수 있습니다. 그 이유는 모든 이전 (및 미래) 데이터 암호화 데이터가 해독 될 수 있기 때문입니다. 이것은 또한 MITM 공격을 허용합니다.

그러나 웹 사이트 키가 CA 키보다 크면 공격자가 CA 키만 공격 할 가능성이 더 높으며이 경우 MITM 공격 만 가능합니다. 이전에 웹 사이트 키로 암호화 된 모든 데이터는 여전히 안전합니다. 미래의 모든 데이터는 MITM 공격에 취약 할 수 있습니다.

1
goodguys_activate
  1. CA는 인증서의 유효성을 검사 할 뿐이며 클라이언트와의 보안 연결과는 아무 관련이 없으므로 추가 비트 길이가 연결에 도움이됩니다. 공격자가 CA에 침입하면 클라이언트에서 MITM 만 시도하고 암호를 해독 할 수 없습니다.

  2. 네 가능합니다. CA는 최대한 빨리 자신의 인증서를 갱신합니다.

0
AbiusX