¿Qué longitud de clave RSA debería usar para mis certificados SSL?

cryptography ssl-certificate (8)

Estoy en el proceso de crear una CSR, y me pregunto cuál es posiblemente la mejor duración para mi clave RSA.

Por supuesto, 384 es probablemente demasiado débil, y 16384 es probablemente demasiado lento.

¿Existe un consenso sobre la longitud de la clave que uno debería usar, dependiendo de la duración del certificado?

Editar: como la mayoría de las personas, quiero que mi clave sea razonablemente fuerte. No me preocupa que la NSA pueda romper mi llave en 2019. Solo quiero saber cuál es la mejor práctica cuando uno planea hacer negocios normales (por ejemplo, un sitio de comercio electrónico).

Como muchos clientes requieren el cumplimiento de los estándares criptográficos NIST, uso la guía en la Publicación Especial NIST 800-57, Recomendación para la Gestión de Claves Parte 1, §5.6. La mayoría de nuestras aplicaciones son aptas para 112 "bits" de seguridad, por lo que corresponde a triple-DES (o un pequeño tope hasta 128 bits AES) para cifrado simétrico y una clave de 2048 bits para RSA. Vea la Tabla 2 para una equivalencia aproximada.

Válido o no, poder remitirlos a una publicación de NIST ayuda a los clientes a sentirse mejor acerca de la seguridad (si se molestan en preguntar).

Creo que 4096 está bien para RSA

Ver este enlace

El final de la firma SHA-1 no es nada nuevo, pero Google ha acelerado el proceso del cromo. En las próximas semanas, debe verificar sus certificados SSL.

Esto puede ser útil

ENISA recomienda 15360 Bit. Eche un vistazo al PDF (página 35)

http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/algorithms-key-sizes-and-parameters-report/at_download/fullReport

Este próximo agosto, Microsoft implementará un parche en Server 2003/2008, Win7 ect .. que requerirá el uso de una clave RSA de 1024 bits como mínimo. Así que bien podría comenzar a hacer que su estándar "mínimo".

Las autoridades de certificación no firmarán csrs con un tamaño inferior a 2048 bits, por lo que debe generar su csr en 2048 bits.

Para los certificados SSL utilizados en sitios web, es importante tener en cuenta este texto del sitio web de Thawte.com (a fecha de 2014-07-22):

Los estándares de la industria establecidos por la autoridad de certificación / navegador (CA / B) Forum requieren que los certificados emitidos después del 1 de enero de 2014 DEBEN tener una longitud de clave de al menos 2048 bits.

Esta respuesta está un poco desactualizada. Tenga en cuenta que podría no representar la mejor práctica actual.

Si se ha mantenido actualizado con el campo, considere mejorar esta respuesta.

Bruce Schneier escribió nuevamente en 1999:

Las longitudes de clave más largas son mejores, pero solo hasta cierto punto. AES [simetric cypher] tendrá longitudes de clave de 128 bits, 192 bits y 256 bits. Esto es mucho más largo de lo necesario en el futuro previsible. De hecho, no podemos siquiera imaginar un mundo en el que sean posibles las búsquedas de fuerza bruta de 256 bits. Requiere algunos avances fundamentales en física y nuestra comprensión del universo. Para la criptografía de clave pública [cifras asimétricas], las claves de 2048 bits tienen el mismo tipo de propiedad; más tiempo no tiene sentido.

Wikipedia escribe:

RSA afirma que es probable que las claves asimétricas de 1024 bits se vuelvan crackables en algún momento entre 2006 y 2010 y que las claves de 2048 bits sean suficientes hasta 2030. Se debe usar una longitud de clave RSA de 3072 bits si se requiere seguridad más allá de 2030. NIST las pautas de gestión clave también sugieren que las claves RSA de 15360 bits [asimétricas] son equivalentes en intensidad a las claves simétricas de 256 bits.

Escribe RSA Laboratories (la última vez que cambió 2007 de acuerdo con archive.org ):

Actualmente, RSA Laboratories recomienda tamaños de clave [asimétricos] de 1024 bits para uso corporativo y 2048 bits para claves extremadamente valiosas como el par de claves raíz utilizado por una autoridad certificadora.

Sería bueno, si alguien que sabe más, podría responder por qué hay esta diferencia.

Necesitaba crear varios certs nuevos de SSL y no estaba satisfecho con las respuestas anteriores porque parecían vagas o anticuadas, así que investigé un poco. En pocas palabras, la respuesta seleccionada es el uso correcto "teclas de 2048 bits ... más tiempo no tiene sentido" .

Aumentar la longitud del bit a 4096 agrega una carga potencialmente significativa a su servidor (dependiendo de su carga existente) mientras ofrece básicamente una actualización de seguridad insignificante

Si se encuentra en una situación en la que necesita más de una clave de 2048 bits, no necesita una longitud de bit más larga, necesita un nuevo algoritmo