6
Krypto-Zusammenspiel von Key Size, SHA bei CA, Certs und Anwendungen
Hey Leute,
auf meiner pfSense kann ich eine CA erstellen und mit dieser Zertifikate. Diese Zertifikate kann ich dann für Anwendungen wie OpenVPN oder RADIUS nutzen.
Dazu muss ich beim Erstellen der CA und beim Erstellen von Zertifikaten jeweils eine "Key Size" (1024 ... 16384) und einen Digest/Hash-Algorithmus (SHA...) angeben.
Unabhängig davon müssen auch bei OpenVPN unter "Cryptographic Settings" Werte für "DH Parameter Length", "Encryption Algorithm" und "Auth Digest Algorithm" ausgewählt werden. (Ähnliches ist bei RADIUS notwendig.)
Es gibt also mehrere Bereiche (einerseits CA/Zertifikate und andererseits Anwendung wie OpenVPN). Und es gibt pro Bereich mehrere Parameter (key size, Digest, ...). Mir ist das gesamte Zusammenspiel nicht wirklich klar.
Ist sicherheitstechnisch jeder "Bereich" getrennt zu betrachten, oder hängen die miteinander zusammen? Daher der folgende Versuch einiger Fragen:
- Worauf wirkt sich beim Erstellen der CA und der Zertifikate die gewählte "Key Size" und "Digest" aus? Wirken die sich auf gleiche oder verschiedene Dinge aus? Sind diese Parameter miteinander verbunden, so dass also eine große "Key Size" einen geringeren SHA-Wert "ausgeleichen" kann und umgekehrt?
- Auf was wirkt sich sicherheitstechnisch die Wahl der Zertifikats-Parameter aus, und auf was die Wahl der "Cryptographic Settings" (im Fall von OpenVPN)? Sprich: Wo macht sich ein schwacher/starker Zertifikats-Parameter bemerkbar? Und wo macht sich eine schlechte/gute Wahl unter "Cryptographic Settings" (im Fall von OpenVPN) bemerkbar?
Ich hoffe, jemand kann etwas Licht ins Dunkel bringen.
Grüße
NE
auf meiner pfSense kann ich eine CA erstellen und mit dieser Zertifikate. Diese Zertifikate kann ich dann für Anwendungen wie OpenVPN oder RADIUS nutzen.
Dazu muss ich beim Erstellen der CA und beim Erstellen von Zertifikaten jeweils eine "Key Size" (1024 ... 16384) und einen Digest/Hash-Algorithmus (SHA...) angeben.
Unabhängig davon müssen auch bei OpenVPN unter "Cryptographic Settings" Werte für "DH Parameter Length", "Encryption Algorithm" und "Auth Digest Algorithm" ausgewählt werden. (Ähnliches ist bei RADIUS notwendig.)
Es gibt also mehrere Bereiche (einerseits CA/Zertifikate und andererseits Anwendung wie OpenVPN). Und es gibt pro Bereich mehrere Parameter (key size, Digest, ...). Mir ist das gesamte Zusammenspiel nicht wirklich klar.
Ist sicherheitstechnisch jeder "Bereich" getrennt zu betrachten, oder hängen die miteinander zusammen? Daher der folgende Versuch einiger Fragen:
- Worauf wirkt sich beim Erstellen der CA und der Zertifikate die gewählte "Key Size" und "Digest" aus? Wirken die sich auf gleiche oder verschiedene Dinge aus? Sind diese Parameter miteinander verbunden, so dass also eine große "Key Size" einen geringeren SHA-Wert "ausgeleichen" kann und umgekehrt?
- Auf was wirkt sich sicherheitstechnisch die Wahl der Zertifikats-Parameter aus, und auf was die Wahl der "Cryptographic Settings" (im Fall von OpenVPN)? Sprich: Wo macht sich ein schwacher/starker Zertifikats-Parameter bemerkbar? Und wo macht sich eine schlechte/gute Wahl unter "Cryptographic Settings" (im Fall von OpenVPN) bemerkbar?
Ich hoffe, jemand kann etwas Licht ins Dunkel bringen.
Grüße
NE
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1671413580
Url: https://administrator.de/contentid/1671413580
Printed on: April 27, 2024 at 00:04 o'clock
6 Comments
Latest comment
Muss es nicht rechtschreibtechnisch Krypto Zusammenspiel heissen ??
Also wenn, dann "Krypto-Zusammenspiel" (mit Bindestrich). 
Der Titel ist auf jeden Fall korrigiert. Danke für den Hinweis LeReseau.
Der Titel ist auf jeden Fall korrigiert. Danke für den Hinweis LeReseau.
Hi
das sind recht komplexe Themen zu denen es jeweils ganze Bücher gibt. Das tippt hier sicher keiner mal eben so runter
Kurzform: All diese Parameter beeinflussen in irgendeiner Weise wie Sicher deine Verschlüsselung ist. Je länger der Key, desto sicherer ist das Verschlüsselte Paket gegen Brute-Force geschützt. Allerdings kostet das Ver und Entschlüsseln auch mehr Leistung. Man muss also abwägen wie potent die eigene Hardware ist bzw wie sehr man Performanceverluste erleiden kann\will.
das sind recht komplexe Themen zu denen es jeweils ganze Bücher gibt. Das tippt hier sicher keiner mal eben so runter
Kurzform: All diese Parameter beeinflussen in irgendeiner Weise wie Sicher deine Verschlüsselung ist. Je länger der Key, desto sicherer ist das Verschlüsselte Paket gegen Brute-Force geschützt. Allerdings kostet das Ver und Entschlüsseln auch mehr Leistung. Man muss also abwägen wie potent die eigene Hardware ist bzw wie sehr man Performanceverluste erleiden kann\will.
Wie SeaStorm schon sagte, es ist ein sehr komplexes Thema, aber ich versuche es mal.
Key Size ist die Schlüssellänge für das RSA-Schlüsselpaar. RSA wird in diesem Zusammenhang für die Server-Authentifizierung verwendet.
Der Digest/Hash-Algorithmus ist für die Integrität der Daten zuständig.
DH (Diffie-Hellman) wird für den Schlüsselaustausch verwendet.
Bei CA/Zertifikate (Bereich 1) geht es um eine Zertifikatsinfrastruktur um ein Vertrauensproblem zu lösen.
Bei OpenVPN geht es um Server-Authentifizierung (Bereich 2) und Client-Authentifizierung (Bereich 3). Der Client muss die Authentizität des Servers überprüfen und der Server die des Clients. Letzteres kann auch über ein einfaches Passwort geschehen.
Kommt drauf an, was du genau machen willst. CA/Zertifikate kommt auch ohne OpenVPN aus und umgekehrt. Man kann aber auch alles zusammenspielen lassen. Bei OpenVPN brauchst du das höchstens für das Server-Zertifikat, aber das kann ja selbstsigniert sein.
"Key Size" wirkt sich auf die Schlüssellänge des RSA-Schlüsselpaars aus.
"Digest" wirkt sich auf den Integritätsalgorithmus aus.
Um Gottes willen! Nein, auf gar keinen Fall kann der einte Wert den anderen ausgleichen.
Gar nicht. Wenn du gehackt wirst, dann machen sich schwache Parameter bemerkbar.
Also sieh zu, dass du keine schwachen Parameter auswählst. Schwache Parameter verraten sich manchmal durch einen zu schnellen Verbindungsaufbau.
Ich hoffe, du kannst dir darauf einen Reim machen.
Key Size ist die Schlüssellänge für das RSA-Schlüsselpaar. RSA wird in diesem Zusammenhang für die Server-Authentifizierung verwendet.
Der Digest/Hash-Algorithmus ist für die Integrität der Daten zuständig.
DH (Diffie-Hellman) wird für den Schlüsselaustausch verwendet.
Bei CA/Zertifikate (Bereich 1) geht es um eine Zertifikatsinfrastruktur um ein Vertrauensproblem zu lösen.
Bei OpenVPN geht es um Server-Authentifizierung (Bereich 2) und Client-Authentifizierung (Bereich 3). Der Client muss die Authentizität des Servers überprüfen und der Server die des Clients. Letzteres kann auch über ein einfaches Passwort geschehen.
Ist sicherheitstechnisch jeder "Bereich" getrennt zu betrachten, oder hängen die miteinander zusammen?
Kommt drauf an, was du genau machen willst. CA/Zertifikate kommt auch ohne OpenVPN aus und umgekehrt. Man kann aber auch alles zusammenspielen lassen. Bei OpenVPN brauchst du das höchstens für das Server-Zertifikat, aber das kann ja selbstsigniert sein.
- Worauf wirkt sich beim Erstellen der CA und der Zertifikate die gewählte "Key Size" und "Digest" aus? Wirken die sich auf gleiche oder verschiedene Dinge aus?
"Key Size" wirkt sich auf die Schlüssellänge des RSA-Schlüsselpaars aus.
"Digest" wirkt sich auf den Integritätsalgorithmus aus.
Sind diese Parameter miteinander verbunden, so dass also eine große "Key Size" einen geringeren SHA-Wert "ausgeleichen" kann und umgekehrt?
Um Gottes willen! Nein, auf gar keinen Fall kann der einte Wert den anderen ausgleichen.
- Auf was wirkt sich sicherheitstechnisch die Wahl der Zertifikats-Parameter aus, und auf was die Wahl der "Cryptographic Settings" (im Fall von OpenVPN)? Sprich: Wo macht sich ein schwacher/starker Zertifikats-Parameter bemerkbar? Und wo macht sich eine schlechte/gute Wahl unter "Cryptographic Settings" (im Fall von OpenVPN) bemerkbar?
Gar nicht. Wenn du gehackt wirst, dann machen sich schwache Parameter bemerkbar.
Also sieh zu, dass du keine schwachen Parameter auswählst. Schwache Parameter verraten sich manchmal durch einen zu schnellen Verbindungsaufbau.Ich hoffe, du kannst dir darauf einen Reim machen.
Danke @EliteHacker für die Erklärungen. Ich hatte schon erwartet, dass das Thema nicht trivial ist. Natürlich findet man für die einzelnen Punkte immer Empfehlungen, für eine möglichst gute Auswahl der Parameter. Ich finde es nur ein wenig unbefriedigend, wenn man nicht wirklich weiß, was eine konkrete Auswahl konkret bewirkt. Aber ein Stück weit muss man das ganze wohl als "BlackBox" akzeptieren.
Das hier sollte helfen um für dich etwas Licht ins Dunkel der Auswahl zu bringen um nicht als "Black Box" Nutzer zu enden... !!
https://m.heise.de/security/artikel/Kryptographie-in-der-IT-Empfehlungen ...
Ebenso lesenswert zu dem Thema:
https://www.heise.de/select/ct/2021/7/2031717381985388403
https://m.heise.de/security/artikel/Kryptographie-in-der-IT-Empfehlungen ...
Ebenso lesenswert zu dem Thema:
https://www.heise.de/select/ct/2021/7/2031717381985388403