Qualche CA ben nota rilascia certificati Elliptic Curve?


16

sfondo

Ho visto che Comodo ha una radice a curva ellittica ("Autorità di certificazione ECC COMODO"), ma non vedo la menzione dei certificati CE sul loro sito web.

Certicom ha diritti di proprietà intellettuale che impediscono ad altri emittenti di offrire certificati CE? Un browser ampiamente utilizzato non supporta ECC? L'ECC non è adatto all'utilizzo della PKI tradizionale come l'autenticazione del server Web? O non c'è proprio richiesta?

Sono interessato a passare alla curva ellittica a causa della raccomandazione NSA Suite B. Ma non sembra pratico per molte applicazioni.


Criteri di bontà

Per richiedere la generosità, una risposta deve fornire un collegamento a una o più pagine di un noto sito Web della CA che descriva le opzioni di certificato ECC che offrono, i prezzi e le modalità di acquisto. In questo contesto, "ben noto" significa che il certificato radice appropriato deve essere incluso per impostazione predefinita in Firefox 3.5 e IE 8. Se vengono fornite risposte qualificanti multiple (si può sperare!), Quella con il certificato più economico di una onnipresente CA vincerà la taglia. Se ciò non elimina alcun legame (spero ancora!), Dovrò scegliere una risposta a mia discrezione.

Ricorda, qualcuno reclama sempre almeno la metà della taglia, quindi per favore provaci anche se non hai tutte le risposte.


1
Inoltre, ECC soffre di un'estensione dell'algoritmo di Shor, quindi i processori Quantum possono rompere l'ECC (non così facilmente come RSA, ma abbastanza rapidamente da chiamarlo rotto quando i processori Quantum diventano abbastanza complessi). Attualmente ci sono processori quantistici a 4 bit (quando colpiscono RSA a 1024 bit è effettivamente senza valore). Non esiste un sostituto ben analizzato per RSA o ECC sicuro per il processore Quantum.
Chris S,

Forse le autorità di certificazione cercavano silenziosamente di farci un favore non offrendo certificati CE usando curve con una backdoor?
Erickson,

È piuttosto improbabile che ECC abbia una backdoor NSA. L'ultima volta che la NSA ha messo una backdoor in qualcosa è stato abbastanza ovvio . Recentemente le persone hanno messo in dubbio i generatori di numeri casuali basati su hardware, citando una mancanza di entropia come sconfiggendo anche i migliori algoritmi.
Chris S,

1
Giusto per risolvere questo argomento: YouTube ha un certificato di curva ellittica firmato con CA di Google (ANSI X9.62 curva ellittica prime256v1 (aka secp256r1, NIST P-256)). Il certificato stesso è firmato con RSA-SHA1.
Smit Johnth,

Da en.wikipedia.org/wiki/NTRU "A differenza della crittografia RSA e della curva ellittica, NTRU non è noto per essere vulnerabile agli attacchi quantistici basati su computer" Inventato nel 1996, il brevetto potrebbe essere presto più di 17 anni. NTRU è già in IEEE Std 1363.1 Eppure le persone usano ancora RSA2K e discutono sul passaggio all'ECC, che, dal 1989, è noto per essere più veloce.

Risposte:


5

Sono ora emessi da Comodo come parte dell'offerta PositiveSSL. Non posso dire che lo pubblicizzino troppo bene, ma esistono prove viventi per la matematica:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

6

Volevo approfondire un po 'di più, quindi ho contattato le persone di Comodo che sono responsabili della loro CA ECC. Dopo un po 'avanti e indietro, mi hanno detto che Comodo è stato avvisato che avevano bisogno di una licenza da Certicom / RIM prima che potessero emettere certificati ECC e che sono attualmente in trattative di licenza con loro. Non hanno dato un ETA per aver finalizzato quelle discussioni, quindi chissà quando puoi effettivamente acquistare un certificato.


6

Come aggiornamento rapido, oggi Cloudflare ha distribuito un nuovo certificato per il suo blog firmato da Comodo e usando ECC ... Immagino che gli ECC per il grande pubblico arriveranno presto.

https://blog.cloudflare.com/

E Verisign (ora Symantec) offre ECC nella sua linea di certificati Secure Site Pro


Grazie per l'aggiornamento Albert! Sembra che siamo finalmente arrivati. Sfortunatamente, da Snowden, non sono sicuro di fidarmi delle curve EC standardizzate!
Erickson,

1
Mostra ancora un modulo RSA per me quando controllo il certificato (l'ultima versione stabile di Firefox)
Luc

Sì, lo stesso qui - Vedo RSA, non ECDSA.
Eric Mill,

Cloudfare ritirato dal certificato ECC su blog.cludflare.com (temporaneo come sostengono), ma se segui la dashboard di ssllabs vedi alcune offerte di hosting (server: cloudflare-gninex) con certificati Comodo ECC.
Controlla l'

5

Ho trovato questo link su affidamento che ho trovato utile. http://www.entrust.net/ecc-certs/index.htm

Fondamentalmente, NSA Suite B non è attendibile a livello globale (a livello di root) e attualmente nessuna CA (a partire da ottobre 2012) offre certificati SSL conformi allo standard. Puoi firmare il tuo certificato, ma i browser moderni mostreranno agli utenti un avviso molto scoraggiante. In genere i certificati NSA Suite B sono integrati in applicazioni che si collegano direttamente a server sicuri. Tieni presente che esiste un supporto di supporto nei browser per ECC. ECC fa parte di TLS 1.1 che è supportato solo in Chrome v22 + per impostazione predefinita [ http://en.wikipedia.org/wiki/Transport_Layer_Security#Browser_implementations ]


È possibile utilizzare le chiavi ECC con tutti i principali browser e server (in realtà il supporto Schannel su IIS è migliore rispetto a RSA in quanto supporta GCM con ECDSA). E puoi ancora firmare quelli con RSA, questo è ciò che fa Comodo per esempio. (e IE e Chrome propongono solo curve NIST, purtroppo).
Controlla l'

1
ECC non fa "parte di" TLS1.1. È stato definito come un'opzione per 1.0 e rimane tale in 1.1 e 1.2. L'implementazione e l'uso sono cresciuti nel tempo contemporaneamente ai protocolli più recenti, quindi è probabile che tu trovi ECC con> = 1.1 ma questo non è un requisito.
dave_thompson_085,

3

Non credo che Certicom stia impedendo l'uso della curva ellittica che l'autorità di certificazione MS2008 offre Suite B. Sono sicuro quindi che l'ultima versione dei client Windows in 7 ne supporta l'uso. Vado a dare un'occhiata, sarà il sottosistema crittografico MS che dovrebbe supportarlo (CryptoAPI) e questo ha un'architettura CSP plug-in che gli permetterebbe di supportarlo abbastanza facilmente.

Quanto segue è tratto dalla documentazione di affidamento sull'argomento: -


Tutti i principali prodotti software CA supportano ECDSA, sia per la firma di certificati e CRL sia per le chiavi pubbliche dell'utente finale. Pertanto, per le applicazioni che richiedono solo autenticazione e firme digitali, non dovrebbe essere difficile procurarsi un prodotto CA adatto. Il ritmo più lento della standardizzazione per l'accordo chiave basato su ECC aggiunge qualche incertezza per le applicazioni che richiedono anche la crittografia. Tuttavia, i principali fornitori di software CA hanno tutti piani avanzati per supportare le chiavi ECDH nei certificati dell'utente finale. Pertanto, la pianificazione in quest'area comporta solo rischi minori. L'implementazione, d'altra parte, deve attendere la realizzazione di questi piani nei prodotti di spedizione


ECC richiede meno potenza di calcolo rispetto a RSA ed è quindi utile per sistemi embedded come smart card e per dispositivi con processori meno potenti come router wireless. Potrebbe essere utile per i server Web in quanto richiederebbe una minore elaborazione da parte del server Web per supportare le operazioni di scambio di chiavi TLS con ovvi vantaggi per il supporto di elevate quantità di traffico sicuro. Penso che questi fattori guideranno la domanda e ci sarà anche una forte domanda da parte del settore governativo, in tutto il mondo, che presta molta attenzione al NIST. Ciò contribuirà anche a spingere la tecnologia mentre i venditori cercano di vendere in questo settore.

Mark Sutton
http://www.blacktipconsulting.com


Windows 7, vista sp1 e 2008 supportano la suite technet.microsoft.com/en-us/library/dd566200%28WS.10%29.aspx
Mark Sutton il

Grazie per il tuo contributo, Mark. Ho trovato che il supporto delle librerie per ECC sia abbastanza buono (incluso l'accordo chiave) e l'ho usato con successo in applicazioni interne dove possiamo usare certificati che "rilasciamo" noi stessi. Ma non sono stato in grado di trovare una CA pronta a vendermi un certificato ECDSA per uso pubblico.
Erickson,

Mark, ho aggiornato la mia domanda per enfatizzare quello che sto cercando. La tua risposta fornisce alcune informazioni utili sul problema, ma la domanda chiave è "Dove posso ottenere un certificato?"
Erickson,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.