Quelle longueur de clé RSA dois-je utiliser pour mes certificats SSL?
Je suis en train de créer un CSR, et je me demande quelle est sans doute la meilleure longueur pour ma clé RSA.
Bien sûr, 384 est probablement trop faible et 16384 est probablement trop lent.
Existe-t-il un consensus sur la longueur de clé à utiliser, en fonction de la durée de vie du certificat?
Edit: Comme la plupart des gens, je veux que ma clé soit raisonnablement solide. Je ne crains pas que le NSA pourrait peut-être casser ma clé en 2019. Je veux juste savoir quelle est la meilleure pratique quand on prévoit de faire des affaires normales (par exemple un site de commerce électronique)
Cette réponse est un peu dépassée. Sachez que cela peut ne pas représenter les meilleures pratiques actuelles.
Si vous vous êtes tenu au courant du domaine, veuillez envisager d'améliorer cette réponse.
Bruce Schneier a écrit en 1999:
Des longueurs de touches plus longues sont meilleures, mais seulement jusqu'à un certain point. AES [Cypher symétrique] aura des longueurs de clé de 128 bits, 192 bits et 256 bits. C'est beaucoup plus long que nécessaire dans un avenir prévisible. En fait, nous ne pouvons même pas imaginer un monde où les recherches par force brute de 256 bits sont possibles. Cela nécessite des percées fondamentales en physique et notre compréhension de l'univers. Pour la cryptographie à clé publique [cyphers asymétriques], les clés à 2048 bits ont le même type de propriété; plus n'a pas de sens.
Wikipedia écrit:
RSA affirme que les clés 1024 bits [asymétriques] risquent de devenir fissurables entre 2006 et 2010 et que les clés 2048 bits sont suffisantes jusqu'en 2030. Une longueur de clé RSA de 3072 bits doit être utilisée si la sécurité est requise au-delà de 2030. NIST les directives de gestion des clés suggèrent en outre que les clés RSA à 15360 bits [asymétriques] ont une force équivalente aux clés symétriques à 256 bits.
RSA Laboratories écrit (dernière modification en 2007 selon archive.org ):
Les laboratoires RSA recommandent actuellement des tailles de clé [asymétriques] de 1024 bits pour une utilisation en entreprise et de 2048 bits pour des clés extrêmement précieuses comme la paire de clés racine utilisée par une autorité de certification
Ce serait bien, si quelqu'un qui en sait plus, pourrait expliquer pourquoi il y a cette différence.
Comme de nombreux clients exigent la conformité aux normes cryptographiques du NIST, j'utilise les conseils de la publication spéciale du NIST 800-57, Recommandation pour la gestion des clés, partie 1, §5.6. La plupart de nos applications sont adaptées à 112 "bits" de sécurité, ce qui correspond à triple-DES (ou une petite bosse jusqu'à 128 bits AES) pour des chiffrements symétriques et une clé de 2048 bits pour RSA. Voir le tableau 2 pour une équivalence approximative.
Valides ou non, le fait de pouvoir les référer à une publication NIST aide les clients à se sentir mieux en matière de sécurité (s'ils prennent la peine de demander).
Les autorités de certification ne signeront pas des csrs de moins de 2048 bits, vous devez donc générer votre csr à 2048 bits.
En août prochain, Microsoft va déployer un correctif sur Server 2003/2008, Win7 ect .. qui nécessitera l'utilisation d'une clé RSA 1024 bits minimum. Donc, vous pourriez tout aussi bien commencer à en faire votre norme "minimale minimale".
Pour les certificats SSL utilisés sur les sites Web, ce texte du site Web Thawte.com (au 2014-07-22) est important de noter:
Les normes de l'industrie établies par le Forum de l'autorité de certification/navigateur (CA/B) exigent que les certificats émis après le 1er janvier 2014 DOIVENT avoir une longueur de clé d'au moins 2048 bits.
J'avais besoin de créer plusieurs nouveaux certificats SSL et je n'étais pas satisfait des réponses ci-dessus car elles semblaient vagues ou obsolètes, j'ai donc fait un peu de recherche. En bout de ligne, la réponse sélectionnée est une utilisation correcte "Clés de 2048 bits ... plus n'a pas de sens" .
L'augmentation de la longueur en bits à 4096 ajoute une charge potentiellement significative sur votre serveur (en fonction de votre charge existante) tout en offrant essentiellement une mise à niveau de sécurité insignifiante
Si vous êtes dans une situation où vous avez besoin de plus d'une clé de 2048 bits, vous n'avez pas besoin d'une longueur de bit plus longue, vous avez besoin d'un nouvel algorithme
Je pense que 4096 est ok pour RSA
Vérifiez Ce lien
La fin de la signature SHA-1 n'est pas nouvelle, mais Google a accéléré le processus du chrome. Au cours des prochaines semaines, vous devriez vérifier leurs certificats SSL.
L'ENISA recommande 15360 bits. Jetez un œil à la PDF (page 35)