Entscheiden Sie sich für RSA.

DSA ist schneller für die Signaturgenerierung, aber langsamer für die Validierung, langsamer beim Verschlüsseln, aber schneller beim Entschlüsseln und die Sicherheit kann als gleichwertig mit einem RSA-Schlüssel gleicher Schlüssellänge angesehen werden. Das ist die Pointe, jetzt eine Rechtfertigung.

Die Sicherheit des RSA-Algorithmus basiert auf der Tatsache, dass die Faktorisierung großer Ganzzahlen als "schwierig" bekannt ist, während die DSA-Sicherheit basiert auf dem Problem diskreter Logarithmus. Heutzutage ist der schnellste bekannte Algorithmus zum Faktorisieren großer Ganzzahlen das General Number Field Sieve, auch der schnellste Algorithmus zum Lösen des diskreten Logarithmusproblems in endlichen Feldern, modulo eine große Primzahl p, wie für DSA angegeben.

Wenn nun die Sicherheit als gleich angesehen werden kann, würden wir natürlich den Algorithmus bevorzugen, der schneller ist. Aber auch hier gibt es keinen eindeutigen Gewinner.

Sie können sich diese Studie ansehen oder, wenn Sie OpenSSL auf Ihrem Computer installiert haben, openssl speed ausführen Code>. Sie werden sehen, dass DSA beim Generieren einer Signatur schneller arbeitet, beim Überprüfen einer Signatur mit derselben Schlüssellänge jedoch viel langsamer. Die Überprüfung ist im Allgemeinen das, was Sie schneller sein möchten, wenn Sie z. mit einem unterschriebenen Dokument. Die Signatur wird einmal generiert - es ist also in Ordnung, wenn dies etwas länger dauert -, aber die Dokumentensignatur wird möglicherweise viel häufiger von Endbenutzern überprüft.

Beide unterstützen eine Form der Verschlüsselungsmethode, RSA out of the Box und DSA mit einem El Gamal. DSA ist bei der Entschlüsselung im Allgemeinen schneller, bei der Verschlüsselung jedoch langsamer, bei RSA ist es umgekehrt. Auch hier möchten Sie, dass die Entschlüsselung hier schneller erfolgt, da ein verschlüsseltes Dokument möglicherweise mehrmals entschlüsselt wird.

In kommerzieller Hinsicht ist RSA eindeutig der Gewinner. Kommerzielle RSA-Zertifikate werden viel häufiger eingesetzt als DSA-Zertifikate. P. >

Aber ich habe das Killer-Argument für das Ende gespeichert: man ssh-keygen sagt, dass ein DSA-Schlüssel genau 1024 Bit lang sein muss, um mit NISTs FIPS 186-2 kompatibel zu sein a>. Obwohl theoretisch längere DSA-Schlüssel möglich sind (FIPS 186-3 erlaubt dies auch ausdrücklich), sind Sie dennoch auf 1024 Bit beschränkt. Wenn Sie die Überlegungen in diesem [Artikel] berücksichtigen, sind wir mit 1024 Bit für RSA oder DSA nicht mehr sicher.

Heute sind Sie mit einem RSA 2048- oder 4096-Bit besser dran Schlüssel.

Im Moment ist die Frage etwas weiter gefasst: RSA vs. DSA vs. ECDSA vs. Ed25519 . Also:

Eine Präsentation auf der BlackHat 2013 legt nahe, dass erhebliche Fortschritte bei der Lösung der Komplexitätsprobleme erzielt wurden, deren Stärke DSA und einige andere sind Algorithmen sind gegründet, so dass sie sehr bald mathematisch gebrochen sein können. Darüber hinaus kann der Angriff möglicherweise (aber schwieriger) auch auf RSA ausgedehnt werden.

In der Präsentation wird vorgeschlagen, stattdessen die Kryptographie mit elliptischen Kurven zu verwenden. Die von OpenSSH unterstützten ECC-Algorithmen sind ECDSA und seit OpenSSH 6.5 Ed25519.

OpenSSH unterstützt nur NIST-Kurven für ECDSA und gemäß In dieser Studie sehen diese Kurven für NSA-Hintertüren wirklich verdächtig aus. Und wenn die NSA sie bereits knacken kann, ist es für andere nicht so schwer zu knacken, wie es eine richtige Kurve wäre. Ed25519 ist dasselbe, aber mit einer besseren Kurve, daher ist es die sicherste Wette, dass der zugrunde liegende Algorithmus mathematisch gebrochen ist.

Außerdem haben DSA und ECDSA eine unangenehme Eigenschaft: Sie erfordern einen Parameter, der normalerweise k genannt wird, um vollständig zufällig, geheim und eindeutig zu sein. In der Praxis bedeutet dies, dass, wenn Sie von einem Computer mit einem schlechten Zufallszahlengenerator und z. Wenn dasselbe k zweimal verwendet wird, kann ein Beobachter des Datenverkehrs Ihren privaten Schlüssel herausfinden. (Quelle: Wikipedia auf DSA und ECDSA, auch dies).

Das Fazit lautet:

• Verwenden Sie niemals DSA oder ECDSA
• Ed25519 ist wahrscheinlich mathematisch am stärksten (und auch am schnellsten), wird aber noch nicht allgemein unterstützt. Als Bonus ist der private Schlüssel standardmäßig stärker verschlüsselt (Kennwortschutz) als andere Schlüsseltypen.
• RSA ist die beste Wahl, wenn Sie Ed25519 nicht verwenden können .

In SSH spielt auf Client-Seite die Wahl zwischen RSA und DSA keine große Rolle, da beide eine ähnliche Sicherheit bei gleicher Schlüsselgröße bieten (verwenden Sie 2048 Bit und Sie werden zufrieden sein).

In der Vergangenheit unterstützte Version 1 des SSH-Protokolls nur RSA-Schlüssel. Als Version 2 definiert wurde, war RSA noch patentiert, sodass die Unterstützung von DSA hinzugefügt wurde, sodass eine patentfreie Open-Source-Implementierung erfolgen konnte. Das RSA-Patent ist vor mehr als 10 Jahren abgelaufen, sodass Sie sich jetzt keine Sorgen mehr machen müssen.

Theoretisch kann es in bestimmten Situationen zu Leistungsproblemen mit dem einen oder anderen kommen: Wenn der Server sehr klein ist Auf einem Computer (z. B. einem i486) werden Clients mit RSA-Schlüsseln bevorzugt, da das Überprüfen einer RSA-Signatur weniger rechenintensiv ist als das Überprüfen einer DSA-Signatur. Umgekehrt ist eine DSA-Signatur kürzer (normalerweise 64 Byte gegenüber 256 Byte). Wenn Sie also nur eine sehr geringe Bandbreite haben, würden Sie DSA bevorzugen. Wie auch immer, es wird Ihnen schwer fallen, diese Effekte zu erkennen, geschweige denn sie für wichtig zu halten.

Auf dem Server wird ein DSA-Schlüssel bevorzugt, da dann der Schlüsselaustausch a verwendet vorübergehender Diffie-Hellman-Schlüssel, der den Weg für "Perfect Forward Secrecy" ebnet (dh wenn ein Bösewicht den privaten Serverschlüssel stiehlt, kann er frühere Verbindungen, die er aufgezeichnet hätte, immer noch nicht entschlüsseln).

Ein weiterer wichtiger Vorteil von RSA gegenüber DSA und ECDSA besteht darin, dass Sie niemals einen sicheren Zufallszahlengenerator zum Erstellen von Signaturen benötigen.

Um eine Signatur zu generieren, benötigt (EC) DSA einen Wert, der muss zufällig, geheim / unvorhersehbar sein und kann nie wieder verwendet werden. Wenn eine dieser Eigenschaften verletzt wird, ist es möglich, den privaten Schlüssel aus einer oder zwei Signaturen wiederherzustellen.

Dies ist zuvor geschehen (einmal mit einem fehlerhaften Patch des OpenSSL PRNG) in Debian und einmal mit einem Fehler in der SecureRandom-Implementierung von Android) und ist ziemlich schwer vollständig zu verhindern.

Mit RSA wäre in diesen Situationen nur Ihr kurzlebiger Sitzungsschlüssel kompromittiert worden, wenn der tatsächliche Authentifizierungsschlüssel Paare wurden zuvor mit einem ordnungsgemäß gesetzten PRNG erstellt.

Theoretisch gibt es eine Möglichkeit, (EC) -DSA-Signaturen von der Nachricht und dem privaten Schlüssel abhängig zu machen, wodurch ein Total vermieden werden kann Fehler im Falle eines defekten RNG, aber bis dies in Ihren SSH-Client integriert wird (es gibt derzeit keine OpenSSL-Release-Version mit dem Patch), würde ich definitiv RSA-Schlüssel verwenden.

Da ich als OpenSSH-Benutzer nicht viel über Kryptografie weiß, würde ich mich an eine einfache Tatsache halten: In http://www.openssh.com/legacy.html heißt es, dass SHA1 jetzt deaktiviert ist Standardmäßig, weil es als schwach angesehen wird:

OpenSSH 7.0 und höher deaktiviert in ähnlicher Weise den Public-Key-Algorithmus ssh-dss (DSA) . Es ist auch schwach und wir empfehlen gegen seine Verwendung.

Die Mathematik spielt möglicherweise keine Rolle. Dieser Thread scheint vor Snowden zu sein. Hier ist ein Reuters-Artikel vom 20. Dezember 2013:

(Reuters) - Als wichtiger Bestandteil einer Kampagne zur Einbettung von Verschlüsselungssoftware, in die sie weit verbreitet sein könnte Laut Reuters hat die US-amerikanische National Security Agency einen geheimen Vertrag über 10 Millionen US-Dollar mit RSA abgeschlossen, einem der einflussreichsten Unternehmen der Computersicherheitsbranche.

Dokumente, die vom ehemaligen NSA-Auftragnehmer Edward Snowden durchgesickert sind, zeigen dies Die NSA hat eine fehlerhafte Formel zur Erzeugung von Zufallszahlen erstellt und veröffentlicht, um eine "Hintertür" für Verschlüsselungsprodukte zu schaffen, berichtete die New York Times im September. Reuters berichtete später, dass RSA der wichtigste Distributor dieser Formel wurde, indem es in ein Software-Tool namens Bsafe integriert wurde, das zur Verbesserung der Sicherheit in PCs und vielen anderen Produkten verwendet wird.

Bisher wurde RSA nicht bekannt gegeben 10 Millionen US-Dollar für einen Deal, bei dem die NSA-Formel als bevorzugte oder Standardmethode für die Nummerngenerierung in der BSafe-Software festgelegt wurde, so zwei mit dem Vertrag vertraute Quellen. Obwohl diese Summe dürftig erscheint, machte sie mehr als ein Drittel des Umsatzes aus, den die betreffende Abteilung bei RSA im gesamten Vorjahr erzielt hatte, wie Wertpapieranmeldungen belegen.

Während dieses Wissenschaftsfreitags Podcast Ira fragt Matt Green, Martin Hellman (Erfinder der Public Key Cryptography) und Phil Zimmerman (Erfinder von PGP), was ihrer Meinung nach die NSA geknackt hat:

(um 17: 26)

Ira : Was sind einige der Dinge, in die die NSA eingebrochen ist?

Matt stark>: Wir haben also eine Reihe von Dingen gehört, die wir wahrscheinlich für echt halten können. … Zufallszahlengeneratoren… wir wissen, dass NSA durch NIST… sehr wahrscheinlich Türen in einige dieser Standardalgorithmen zurückgesetzt hat, die es ihnen ermöglichen, diese Systeme im Wesentlichen vollständig zu zerstören.

Ira : Sie meinen, die NSA hat diese Hintertüren geschaffen?

Matt : Das ist genau richtig. NIST arbeitet also mit NSA zusammen - und das ist gesetzlich vorgeschrieben. Wir dachten, die NSA würde NIST helfen, indem sie sicherere Standards für Amerikaner entwickelt. Wir vermuten jetzt - und haben starke Beweise zu glauben -, dass die Situation genau das Gegenteil war; dass NIST verwendet wurde, um Standards herauszugeben, gegen die die NSA verstoßen könnte.

Angesichts dieser jüngsten Enthüllungen scheint die Stärke der Algorithmen weitgehend irrelevant zu sein. RSA scheint ein privates Unternehmen gewesen zu sein, das irgendwie von der NSA gekauft wurde, und DSA wurde von NIST selbst gegründet, was nach Ansicht dieser Experten größtenteils eine Front für die Kryptoforschung der NSA darstellt.

Mit anderen Worten, es ist wirklich so Es spielt keine Rolle, ob Sie die Zufallszahlengeneratoren verwenden, die mit so ziemlich jedem modernen Computer geliefert werden, wie dies OpenSSH und andere tun.

Wählen Sie den aus, der für das, was Sie wollen, am schnellsten ist. In meinem Fall verwende ich denselben Schlüssel für viele Dinge, sodass die schnellere Generierungsgeschwindigkeit von DSA weniger wünschenswert ist. Vielleicht besteht auch eine wilde Chance, dass RSA tatsächlich eine unabhängige Entität von NIST und NSA war, während wir wissen, dass DSA von NIST erstellt wurde.

Ich persönlich verwende nur 1028-Bit-Schlüssel, weil, wie wir gesehen haben Es spielt wirklich keine Rolle, es sei denn, jemand stellt Anforderungen an Sie, der immer noch glaubt, dass größere Schlüssel Sie schützen. Das Ganze ist größtenteils nur ein Ärger für jeden, der einbrechen möchte.

RSA und DSA sind zwei völlig unterschiedliche Algorithmen. RSA-Schlüssel können bis zu 4096 Bit groß sein, wobei DSA genau 1024 Bit betragen muss (obwohl OpenSSL mehr zulässt). Laut Bruce Schneier "sind sowohl DSA- als auch RSA-Schlüssel mit gleicher Länge in der Schwierigkeit, sie zu knacken, nahezu identisch."

Das Problem mit ECDSA sind nicht so viele Hintertüren. Bernstein / Lange erwähnen ausdrücklich, dass die Kurven-Kryptoanalyse nicht bestimmte Kurven, sondern Kurvenklassen angreift (siehe Folie 6).

Das Problem bei ECDSA ist, dass NIST-Kurven schwer zu implementieren sind korrekt (dh konstante Zeit und bei ordnungsgemäßer Überprüfung) im Vergleich zu Curve25519. OpenSSL verfügt über eine zeitkonstante P256-Implementierung, sodass OpenSSH in dieser Hinsicht sicher ist.

Wenn Sie sich immer noch Sorgen um NIST-Kurven machen, hat OpenSSH kürzlich die Unterstützung für das Ed25519-Schema hinzugefügt