Spørsmål:
Hvorfor støttes ikke secp521r1 i Chrome, andre?
AJAr
2015-09-24 01:03:53 UTC
view on stackexchange narkive permalink

Fant noen problemer med tråder, spesielt for Chrome ( Chromium nummer # 478225), og nettleseren ser ut til å ha sluppet støtte for secp521r1 kurven (kan teste nettleser ved hjelp av SSLLabs). Det var andre problemtråder for andre programvarepakker som også hevder at kurven ikke vil bli støttet fra visse utgivelser tidligere i år.

Jeg kan ikke huske at jeg hadde lest om kryptografiske problemer eller avvikling av denne kurven, så lurer på hvorfor denne endringen skjedde. Jeg så ikke noen konklusjon om den aktuelle tråden knyttet til Chrome.

En svar:
Tom Leek
2015-09-24 01:59:35 UTC
view on stackexchange narkive permalink

Den viktigste skyldige er NSA Suite B - eller rettere sagt folk som leser dokumentet som noe det ikke er. NSA Suite B sier at NSA bruker kurver P-256 og P-384. Noen mennesker har valgt å tolke det som "ikke bruk noen annen kurve". P-521 (også kalt "secp521r1") er ikke en av disse kurvene, og dermed dens fjerning.

Det er ikke noe galt med P-521, bortsett fra at den i praksis er ubrukelig. Uten tvil er P-384 også ubrukelig, fordi den mer effektive P-256-kurven allerede gir sikkerhet som ikke kan brytes gjennom akkumulering av datakraft (se dette svaret for en diskusjon om det emnet). Likevel bruker mennesker og til og med NSA P-384, som langt på vei viser at valget av hvilken elliptisk kurve som skal brukes i en gitt kryptografisk protokoll ikke er et spørsmål om ren rasjonell logikk og sikkerhetsvurdering. Mennesker som er i stand til å bestemme om en gitt kurve er akseptabel eller ikke, vil ta valg basert på deres oppfatning av hvordan deres valg vil bli oppfattet av andre mennesker som selv ikke nødvendigvis er de mest logiske av tenkere (eller ikke i det minste oppfattet være slik).

Takk for svaret. Jeg lurte bare på det etter å ha sett på tilgjengelige kurver i OpenSSL-installasjonen min, nysgjerrig på hvorfor denne kurven så en tilbakekalling av tidligere støtte. Besvarte spørsmålet, og jeg er enig i at det ikke er noen god grunn til å bruke P-384 eller P-521 vs. P-256 gitt det som er realistisk å bryte som en isolert kurve bortsett fra de andre.
FIPS 140-2 ringer ut P-256 og P-384. Påstanden om at P-384 er "ubrukelig" er imidlertid ikke lenger gyldig, se https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf for detaljer. Det anbefales på dette tidspunktet å bytte fra prime256v1 til secp384r1.
Det koster ikke mye å bytte fra 256 til 384 bit ECC, så hvorfor ikke bruke den? Det er fortsatt raskere enn ikke-EC-kryptografi som brukes i dag.
@hackajar at papir bare ser ut til å anbefale å bruke elliptiske kurver, men jeg kan ikke finne noen omtale av hvilke kurver de vil anbefale?
Støtte for [x25519] (https://en.wikipedia.org/wiki/Curve25519) ser ut til å være ganske god i dag hvis du vil unngå å bruke de fra NSA Suite B.
AFAIK P-521 brukes til data som burde være hemmelige også om noen få år til.Tenk deg at et land var i stand til å få krypterte data kryptert med p256 om noen få år, når datamaskinene vil være sterkere, det kan bli mulig, P521 reduserer denne muligheten mange ganger.
Firefox gjorde det samme: "det er ikke Suite B, så det bør fjernes".https://bugzilla.mozilla.org/show_bug.cgi?id=1128792


Denne spørsmålet ble automatisk oversatt fra engelsk.Det opprinnelige innholdet er tilgjengelig på stackexchange, som vi takker for cc by-sa 3.0-lisensen den distribueres under.
Loading...