子证书的比特强度选择应受CA或链的影响吗？

Question

所有条件相同；假设我有一个CA链，其中包含1024位RSA加密。这是否意味着我选择的子CA或WebServer证书不会从更高级别的加密中获益？

我在这个问题上的理论是，如果攻击者用1024位加密攻击证书需要N个计算周期，那么它们也可以攻击链中最高的证书。

如果父证书(1024位)的过期日期为1年，而我的更强(4028位)证书的过期时间为2年(或更长时间)，该怎么办？这在技术上是可能的吗？有益吗？如果是，以什么方式？

Answer 1

好像你在问两个问题：

有什么好处使终端实体证书比签名链

中的CA拥有更大的密钥空间？

我同意其他海报的观点，即结果好坏参半--但我想将其分解为典型的安全特性：

• 保密性--如果您使用终端实体密钥对进行机密性( SSL设置期间的密钥加密，数据的存储或传输加密)，那么无论CA签名者在做什么，您都可以从较大的密钥中获益。破解加密与查找私钥(或在算法上发现弱点)完全相关。
• 完整性--如果您使用end entity密钥对对数据进行签名，那么破解您的签名将链接到您密钥的强度。但是，完整性检查通常与身份验证相结合-参见下面。
• 认证-这是个难题。如果CA的私钥更容易猜测，您的身份验证/不可否认能力就会减弱。如果由于密钥空间较小，我可以找到您的CA的私钥，那么我可以假装是您的CA，并且我可以制作一个证书和任意大小的密钥对，这些证书和密钥对看起来都像您，并且有我控制的密钥对。就像在脚上进行身份验证一样。它不会被可信CA证书列表捕获，因为攻击者将模拟其中一个已配置的可信证书。在发现破门而入之前是很难发现的。同时，撤销CA也是痛苦的。要么在每个检查终端实体和CA链状态的消费系统中都有证书状态检查，要么必须撤销CA颁发的每个有效结束实体。如果我们讨论的是自签名根证书中的一个小密钥空间，这就更加困难了。无法对根进行状态检查。CA系统必须发布一个巨大的公开警告，并让任何依赖方从他们信任的商店中删除根和所有的子CA。
• 可用性--当我考虑PKI中的可用性时，我会考虑使用PKI进行身份验证/访问控制，以使服务只对特权用户可用。从这个角度看，可用性和身份验证一样容易使用。

所以，总结-你在使用证书做什么？如果你只是为了保密性和纯粹的正直而使用它--你的生活就没那么糟糕了。但请记住，PKI保护机制经常将这些类别混为一谈。SSL客户端或服务器auth既是一种建立安全通道(机密性)的方法，也是一种检查服务器身份的方法(身份验证)。电子邮件签名既是篡改传输(完整性)的方法，也是传输来自发件人(身份验证)的证明。很快就会长毛。

下一个问题。

让我的终端实体比颁发它的CA的有效期更长是有益的还是可能的？

在我工作过的PKI系统中，没有绝对不结束的实体证书不能作为比CA证书的有效期更长的有效期来颁发。

但是，从实际经验来看，我正在查看X509证书的RFC：http://www.ietf.org/rfc/rfc3280.txt

Section 6.1.3  Basic Certificate Processing

包括验证链中每个证书的有效日期。

本节是下列部分的一部分：

6.1  Basic Path Validation

   This text describes an algorithm for X.509 path processing.  A
   conformant implementation MUST include an X.509 path processing
   procedure that is functionally equivalent to the external behavior of
   this algorithm.  However, support for some of the certificate
   extensions processed in this algorithm are OPTIONAL for compliant
   implementations.  Clients that do not support these extensions MAY
   omit the corresponding steps in the path validation algorithm.

因此，应该对路径中的每个证书(即终端实体、每个签名CA和根)执行此操作。

有效性检查不是可选的扩展，它们是证书的必需部分。

如果系统正确地进行路径验证，那么在end实体证书上具有更长的有效性对您没有好处。我没有看更远的地方看是否允许。我相信我测试过的CA系统有一个不允许这样做的设置，但我也认为，通过一定程度的创造力，我可能能够产生一个打破这种模式的证书。但是，请记住，我使用的是sys管理特权，甚至可能是白盒测试机制，而这些机制不应该在硬化的CA中使用。几年前，我也是这样做的，因为CA不再是今天的市场--里程可能会有所不同。

Answer 2

简短的回答:是的，对于终端实体来说，选择一个比CA的公钥更大的公钥有一些潜在的好处。

问题还不完全清楚，但我猜想您的情况是，根或父服务器使用1024位RSA密钥(即终端实体的证书用1024位RSA密钥签名)，终端实体使用2048位RSA密钥(即终端主机认证和使用的公钥是2048位RSA密钥)。

在这种情况下，我可以看到使用2048位终端实体证书而不是1024位终端实体证书有两个潜在的安全好处：

• 您是安全的攻击者谁可以打破1024位RSA，但不能打破2048位RSA，并只能窃听，但不能(或不愿意)主动篡改连接。相比之下，如果您使用1024位RSA密钥，则这样的攻击者可以恢复您的RSA私钥，窃听连接，并解密加密的通信量。
• 您是安全的，一个攻击者，五年后，打破1024位RSA，但不能打破2048位RSA，假设CA过渡到2048位RSA在未来几年(许多CA正在做和许多浏览器需要)。这是因为，如果攻击者能够从五年后恢复CA的1024位签名密钥，则如果该密钥不再有效，则不会从中获得任何好处。CA的签名密钥无法帮助攻击者解密他可能访问的任何SSL加密通信量(甚至是他很久以前记录的旧通信量)。攻击者唯一能用CA的签名密钥做的事情就是签署一个新的假证书，并使用它对用户进行中间人攻击，但是如果五年后浏览器不再接受CA的根证书和1024位公钥，这对攻击者毫无帮助:他已经太迟了。

此外，现在选择一个2048位密钥并能够继续使用它几年可能有一些密钥管理上的好处，即使您必须更新您的证书，而不是在一两年内更改密钥.要明确的是，这并不是一种安全好处；它仅仅是一种潜在的后勤利益，这取决于您发现在将来的某个时候更改您的密钥会有多烦人。

底线:选择一个比CA的密钥更大的end实体密钥可能有一些好处。然而，我不想声称好处是压倒性的，或者说最终实体公钥的大小才是最重要的。针对一个强大的攻击者，如果他能够并且愿意发起主动攻击，并且能够在CA的根证书有效期内破坏1024位RSA，那么无论您选择多大的公钥，您都可能会被排除在外。

Answer 3

攻击者可能试图安装两种攻击：

• 主动攻击:攻击者在连接到服务器时干扰数据包(可能会运行自己的完整假服务器)。要做到这一点，攻击者必须能够立即破解其中一个公钥(服务器的密钥或CA之一的密钥)。
• 被动攻击:攻击者记录数据包，但不更改数据包。之后，攻击者试图破解用于加密的任何密钥，以解开明文数据。对于具有" RSA“密码套件之一的SSL/TLS (而不是"DHE_RSA”套件)，破坏服务器的RSA公钥就足以解密整个会话。

重要的一点是，事后破解CA密钥对攻击者没有任何好处(这只有助于攻击在中断后发生的会话)。但是，破坏服务器的密钥本身可能有助于他解密以前记录的会话。因此，服务器密钥上的安全约束实际上比CA密钥更严格；因此，为服务器本身使用更大的密钥是有意义的。

( "DHE“密码套件只使用服务器的密钥进行签名，这将问题转移到服务器决定用于实际密钥交换的短暂Diffie-Hellman密钥。在那里，服务器在逻辑上有权使用比其自己的RSA密钥或CA密钥更强的DH密钥。)