network-experience
Goto Top

Krypto-Zusammenspiel von Key Size, SHA bei CA, Certs und Anwendungen

Hey Leute,

auf meiner pfSense kann ich eine CA erstellen und mit dieser Zertifikate. Diese Zertifikate kann ich dann für Anwendungen wie OpenVPN oder RADIUS nutzen.

Dazu muss ich beim Erstellen der CA und beim Erstellen von Zertifikaten jeweils eine "Key Size" (1024 ... 16384) und einen Digest/Hash-Algorithmus (SHA...) angeben.

Unabhängig davon müssen auch bei OpenVPN unter "Cryptographic Settings" Werte für "DH Parameter Length", "Encryption Algorithm" und "Auth Digest Algorithm" ausgewählt werden. (Ähnliches ist bei RADIUS notwendig.)

Es gibt also mehrere Bereiche (einerseits CA/Zertifikate und andererseits Anwendung wie OpenVPN). Und es gibt pro Bereich mehrere Parameter (key size, Digest, ...). Mir ist das gesamte Zusammenspiel nicht wirklich klar.

Ist sicherheitstechnisch jeder "Bereich" getrennt zu betrachten, oder hängen die miteinander zusammen? Daher der folgende Versuch einiger Fragen:

- Worauf wirkt sich beim Erstellen der CA und der Zertifikate die gewählte "Key Size" und "Digest" aus? Wirken die sich auf gleiche oder verschiedene Dinge aus? Sind diese Parameter miteinander verbunden, so dass also eine große "Key Size" einen geringeren SHA-Wert "ausgeleichen" kann und umgekehrt?

- Auf was wirkt sich sicherheitstechnisch die Wahl der Zertifikats-Parameter aus, und auf was die Wahl der "Cryptographic Settings" (im Fall von OpenVPN)? Sprich: Wo macht sich ein schwacher/starker Zertifikats-Parameter bemerkbar? Und wo macht sich eine schlechte/gute Wahl unter "Cryptographic Settings" (im Fall von OpenVPN) bemerkbar?

Ich hoffe, jemand kann etwas Licht ins Dunkel bringen.

Grüße
NE

Content-ID: 1671413580

Url: https://administrator.de/contentid/1671413580

Ausgedruckt am: 19.12.2024 um 08:12 Uhr

148523
148523 30.12.2021 um 11:04:22 Uhr
Goto Top
Muss es nicht rechtschreibtechnisch Krypto Zusammenspiel heissen ??
Network-Experience
Network-Experience 30.12.2021 aktualisiert um 11:09:46 Uhr
Goto Top
Also wenn, dann "Krypto-Zusammenspiel" (mit Bindestrich). face-smile
Der Titel ist auf jeden Fall korrigiert. Danke für den Hinweis LeReseau. face-smile
SeaStorm
SeaStorm 30.12.2021 um 11:15:04 Uhr
Goto Top
Hi

das sind recht komplexe Themen zu denen es jeweils ganze Bücher gibt. Das tippt hier sicher keiner mal eben so runter face-smile

Kurzform: All diese Parameter beeinflussen in irgendeiner Weise wie Sicher deine Verschlüsselung ist. Je länger der Key, desto sicherer ist das Verschlüsselte Paket gegen Brute-Force geschützt. Allerdings kostet das Ver und Entschlüsseln auch mehr Leistung. Man muss also abwägen wie potent die eigene Hardware ist bzw wie sehr man Performanceverluste erleiden kann\will.
EliteHacker
EliteHacker 30.12.2021 aktualisiert um 15:19:11 Uhr
Goto Top
Wie SeaStorm schon sagte, es ist ein sehr komplexes Thema, aber ich versuche es mal.

Key Size ist die Schlüssellänge für das RSA-Schlüsselpaar. RSA wird in diesem Zusammenhang für die Server-Authentifizierung verwendet.

Der Digest/Hash-Algorithmus ist für die Integrität der Daten zuständig.

DH (Diffie-Hellman) wird für den Schlüsselaustausch verwendet.

Bei CA/Zertifikate (Bereich 1) geht es um eine Zertifikatsinfrastruktur um ein Vertrauensproblem zu lösen.

Bei OpenVPN geht es um Server-Authentifizierung (Bereich 2) und Client-Authentifizierung (Bereich 3). Der Client muss die Authentizität des Servers überprüfen und der Server die des Clients. Letzteres kann auch über ein einfaches Passwort geschehen.

Ist sicherheitstechnisch jeder "Bereich" getrennt zu betrachten, oder hängen die miteinander zusammen?

Kommt drauf an, was du genau machen willst. CA/Zertifikate kommt auch ohne OpenVPN aus und umgekehrt. Man kann aber auch alles zusammenspielen lassen. Bei OpenVPN brauchst du das höchstens für das Server-Zertifikat, aber das kann ja selbstsigniert sein.

- Worauf wirkt sich beim Erstellen der CA und der Zertifikate die gewählte "Key Size" und "Digest" aus? Wirken die sich auf gleiche oder verschiedene Dinge aus?

"Key Size" wirkt sich auf die Schlüssellänge des RSA-Schlüsselpaars aus.

"Digest" wirkt sich auf den Integritätsalgorithmus aus.

Sind diese Parameter miteinander verbunden, so dass also eine große "Key Size" einen geringeren SHA-Wert "ausgeleichen" kann und umgekehrt?

Um Gottes willen! Nein, auf gar keinen Fall kann der einte Wert den anderen ausgleichen.

- Auf was wirkt sich sicherheitstechnisch die Wahl der Zertifikats-Parameter aus, und auf was die Wahl der "Cryptographic Settings" (im Fall von OpenVPN)? Sprich: Wo macht sich ein schwacher/starker Zertifikats-Parameter bemerkbar? Und wo macht sich eine schlechte/gute Wahl unter "Cryptographic Settings" (im Fall von OpenVPN) bemerkbar?

Gar nicht. Wenn du gehackt wirst, dann machen sich schwache Parameter bemerkbar. face-wink Also sieh zu, dass du keine schwachen Parameter auswählst. Schwache Parameter verraten sich manchmal durch einen zu schnellen Verbindungsaufbau.

Ich hoffe, du kannst dir darauf einen Reim machen.
Network-Experience
Network-Experience 01.01.2022 um 21:59:18 Uhr
Goto Top
Danke @EliteHacker für die Erklärungen. Ich hatte schon erwartet, dass das Thema nicht trivial ist. Natürlich findet man für die einzelnen Punkte immer Empfehlungen, für eine möglichst gute Auswahl der Parameter. Ich finde es nur ein wenig unbefriedigend, wenn man nicht wirklich weiß, was eine konkrete Auswahl konkret bewirkt. Aber ein Stück weit muss man das ganze wohl als "BlackBox" akzeptieren.
148523
148523 02.01.2022 aktualisiert um 13:43:31 Uhr
Goto Top
Das hier sollte helfen um für dich etwas Licht ins Dunkel der Auswahl zu bringen um nicht als "Black Box" Nutzer zu enden... !!
https://m.heise.de/security/artikel/Kryptographie-in-der-IT-Empfehlungen ...

Ebenso lesenswert zu dem Thema:
https://www.heise.de/select/ct/2021/7/2031717381985388403