Paramètres DH taille recommandée?
J'installe EAP-TLS sur mon routeur sans fil et je génère actuellement des paramètres DH pour FreeRADIUS.
Tout d'abord, que font ces paramètres? De plus, de quelle taille devraient-ils être?
Je génère les paramètres actuels depuis un certain temps:
openssl dhparam -check -text -5 4096 -out dh
Le tutoriel que je suivais recommandait une taille de paramètre DH de 512 bits, mais je suis un peu un haineux. Quelles sont les implications pour la sécurité de la taille et de la force de ces paramètres?
Diffie-Hellman n'est pas plus fort que le problème du logarithme discret dans le sous-groupe multiplicatif des entiers modulo un premier p . Un nombre premier plus grand p rend plus difficile DL. L'enregistrement actuel (dans les cercles universitaires) concerne un module premier de 530 bits . Bien qu'il ait fallu un certain effort de calcul, la leçon est que le DH 512 bits est cassable avec la technologie existante. Un attaquant observant votre trafic pourrait ainsi (à un prix) percer le mécanisme d'échange de clés, récupérer la clé de session et décrypter votre De plus, les algorithmes de rupture de DL ont tendance à être cumulatifs, c'est-à-dire que la rupture de sessions ultérieures avec le même module serait plus facile.
Les recommandations actuelles de divers organismes (dont le NIST) appellent à un module de 2048 bits pour DH. Les algorithmes de rupture DH connus auraient un coût si ridiculement élevé qu'ils ne pourraient pas être exécutés jusqu'à leur terme avec une technologie terrestre connue. Voir ce site pour des pointeurs sur ce sujet.
Vous ne voulez pas exagérer la taille, car le coût d'utilisation de calcul augmente relativement fortement avec la taille principale (quelque part entre quadratique et cubique, selon certains détails de mise en œuvre), mais un DH de 2048 bits devrait convenir (un PC bas de gamme basique). peut faire plusieurs centaines de DH 2 048 bits par seconde).
Pour une longueur de bit donnée, le craquage d'un ensemble de paramètres dh est un peu plus difficile que le craquage d'une clé RSA.
Une fois que l'ensemble des paramètres dh est craqué, le craquage de sessions dh individuelles est relativement facile. Par conséquent, vous êtes plus en sécurité en utilisant des paramètres dh générés localement qu'en utilisant des paramètres bien connus.
Donc, la règle générale que j'utiliserais serait d'utiliser des paramètres dh auto-générés de la même longueur que les clés RSA que vous utilisez.
512 bits est désormais banalement craqué.
768 bits est probablement à la portée de l'informatique académique haute performance à craquer.
1024 bits est probablement à la portée des États-nations. Il existe des preuves que le NSA peut avoir craqué l'ensemble le plus courant de paramètres dh 1024 bits.
On s'attend généralement à ce que le bit 2048 soit sûr. Cependant, il y a des années, les gens s'attendaient à ce que le bit 1024 soit sûr, donc si vous recherchez une résistance à long terme, je monterais à 4096 bit (pour les clés RSA et les paramètres DH).