为OpenVPN选择哪一个AES密钥长度？

Question

我计划在小型嵌入式机器的客户端设备上使用OpenVPN，所以我必须在速度和安全性之间取得平衡。

OpenVPN文档指出，“1024位键已不再足够，这是一种普遍的智慧”。这是指用于密钥交换的异步密钥。

我现在应该选择一种加密方法。我的第一个想法是采取AES-128，但我不确定这是否(在“一般智慧”的意义上)仍然足够安全的即将到来(10?)几年了。

在这一点上有共识吗？

特别是对于OpenVPN:其他事情比AES密钥大小更安全吗？

Answer 1

AES密钥大小和RSA密钥大小不相关。

RSA，DSA，Diffie-Hellman.这些算法都涉及到密钥交换的初始阶段，它们来自于非对称密码学，它使用了大量的数学结构(具有特殊特征的大整数)来实现其目标。这种结构使它们运转起来，但也是它们的弱点，因为可以利用它来打破它们。为了避免这种情况，这些算法必须使用非常大的整数，传统的1024位或更多的整数。有些人认为1024位已经不够用了，因为计算机会随着时间的推移而变得更快。

AES是对称密码学，这在概念上更简单:相同的密钥用于加密和解密。这里没有数学结构，只有一堆比特。攻击者没有任何优势，他唯一的办法就是尝试所有可能的键(即所谓的“蛮力”)。128位足以击败蛮力。

打个比方，RSA密钥是用沙子做的墙，而AES密钥是用钢做的。两者都可以强大到足以阻挡进入火箭，但在沙子的情况下，你将需要更多的东西。

AES接受三个密钥大小(128、192和256位)；这三个都很好。事实上，128位稍微好一点，因为AES-128略快于AES-192和AES-256.

Answer 2

The attacker has no leverage, and his only recourse is to try all possible keys (that's called "brute force").

这假设了一个完美的密码，一个不能被削弱的密码。这是一种危险的思维方式，放弃了理智的安全限制。

• 当下一个版本的OpenVPN发布时，切换到ECDHE。
• 使用AES-256，因为cpu周期很便宜。
• 用RSA而不是DSA。
• 使用2048位或更多的RSA密钥大小，但不少于2048位。
• 初始连接时间将更慢，如果您选择一个大键大小，例如。4096位，但是等待将取决于硬件。