Czy jakieś znane urzędy certyfikacji wydają certyfikaty krzywej eliptycznej?

16

tło

Widziałem, że Comodo ma pierwiastek krzywej eliptycznej („Urząd Certyfikacji ECODO ECC”), ale nie widzę wzmianki o certyfikatach WE na ich stronie internetowej.

Czy Certicom posiada prawa własności intelektualnej, które uniemożliwiają innym emitentom oferowanie certyfikatów WE? Czy powszechnie używana przeglądarka nie obsługuje ECC? Czy ECC jest nieodpowiedni do tradycyjnych zastosowań PKI, takich jak uwierzytelnianie serwera WWW? A może po prostu nie ma na to popytu?

Jestem zainteresowany przejściem na krzywą eliptyczną z powodu rekomendacji NSA Suite B. Ale to nie wydaje się praktyczne dla wielu aplikacji.


Kryteria nagrody

Aby ubiegać się o nagrodę, odpowiedź musi zawierać link do strony lub stron w znanej witrynie internetowej urzędu certyfikacji, która opisuje oferowane przez nich opcje certyfikatów ECC, ceny i sposób ich zakupu. W tym kontekście „dobrze znany” oznacza, że ​​właściwy certyfikat główny musi być domyślnie zawarty w Firefox 3.5 i IE 8. Jeśli podano wiele kwalifikujących się odpowiedzi (można mieć nadzieję!), Ta z najtańszym certyfikatem z wszechobecnego urzędu certyfikacji wygra nagrodę. Jeśli to nie wyeliminuje żadnych więzi (wciąż mam nadzieję!), Będę musiał wybrać odpowiedź według własnego uznania.

Pamiętaj, że ktoś zawsze żąda co najmniej połowy nagrody, więc spróbuj, nawet jeśli nie masz wszystkich odpowiedzi.

erickson
źródło
1
Ponadto ECC cierpi z powodu rozszerzenia algorytmu Shora, więc procesory kwantowe mogą złamać ECC (nie tak łatwo jak RSA, ale wystarczająco szybko, aby nazwać je zepsutym, gdy procesory kwantowe stają się wystarczająco złożone). Obecnie istnieją 4-bitowe procesory kwantowe (gdy osiągną 1024-bitowy RSA, są faktycznie bezwartościowe). Nie ma dobrze przeanalizowanego zamiennika RSA lub ECC, który byłby bezpieczny dla procesora kwantowego.
Chris S
Może urzędy certyfikacji po cichu próbowały wyświadczyć nam przysługę, nie oferując certyfikatów WE za pomocą krzywych z backdoor?
erickson,
Jest raczej mało prawdopodobne, że ECC ma backdoor NSA. Ostatni raz, kiedy NSA wprowadziła backdoor w coś, było to dość oczywiste . Ostatnio ludzie kwestionowali sprzętowe generatory liczb losowych, powołując się na brak entropii jako pokonania nawet najlepszych algorytmów.
Chris S
1
Wystarczy podnieść ten temat: youtube ma certyfikat krzywej eliptycznej podpisany przez Google CA (ANSI X9.62 krzywa eliptyczna prime256v1 (aka secp256r1, NIST P-256)). Sam certyfikat jest podpisany z RSA-SHA1.
Smit Johnth
Od en.wikipedia.org/wiki/NTRU „W przeciwieństwie do RSA i kryptografii krzywej eliptycznej, NTRU nie jest narażona na ataki kwantowe oparte na komputerach” Wynaleziony w 1996 r. Patent może zostać wkrótce przedłużony o ponad 17 lat. NTRU jest już w IEEE Std 1363.1 A jednak ludzie nadal używają RSA2K i dyskutują o przejściu na ECC, która od 1989 roku jest znana jako szybsza.

Odpowiedzi:

5

Są wydawane teraz przez Comodo w ramach oferty PositiveSSL. Nie mogę powiedzieć, że reklamują to zbyt dobrze, ale istnieją żywe dowody matematyczne:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Użytkownik StackExchange
źródło
6

Chciałem się w to zagłębić, więc skontaktowałem się z ludźmi z Comodo, którzy są odpowiedzialni za ich ECC CA. Po krótkiej przerwie powiedzieli mi, że Comodo zostało poinformowane, że potrzebują licencji od Certicom / RIM, zanim będą mogli wydawać certyfikaty ECC i że obecnie rozmawiają z nimi na temat licencji. Nie podali ETA za sfinalizowanie tych dyskusji, więc kto wie, kiedy można kupić certyfikat.

Paul
źródło
6

Jako szybka aktualizacja, dzisiaj Cloudflare wdrożyło nowy certyfikat na swoim blogu podpisany przez Comodo i korzystający z ECC ... Wydaje mi się, że ECC dla ogółu społeczeństwa wkrótce.

https://blog.cloudflare.com/

A Verisign (obecnie Symantec) oferuje ECC w swojej linii certyfikatów Secure Site Pro

Albert Casademont
źródło
Dzięki za aktualizację, Albert! Wygląda na to, że w końcu tam jesteśmy. Niestety, odkąd Snowden, nie jestem pewien, czy ufam znormalizowanym krzywym EC!
erickson
1
Nadal pokazuje mi moduł RSA, gdy sprawdzam certyfikat (najnowszy stabilny Firefox)
Luc
Tak, to samo tutaj - widzę RSA, a nie ECDSA.
Eric Mill
Cloudfare wycofał się z certyfikatu ECC na blog.cludflare.com (tymczasowo, jak twierdzą), ale jeśli śledzisz pulpit ssllabs, zobaczysz kilka ofert hostingu (serwer: cloudflare-gninex) z certyfikatami Comodo ECC.
eckes
5

Znalazłem ten link w powierzeniu, które uznałem za przydatne. http://www.entrust.net/ecc-certs/index.htm

Zasadniczo pakiet NSA B nie jest zaufany globalnie (na poziomie głównym) i żaden urząd certyfikacji (od października 2012 r.) Nie oferuje certyfikatów SSL, które spełniają ten standard. Możesz podpisać własny certyfikat, ale nowoczesne przeglądarki będą wyświetlać użytkownikom bardzo zniechęcające ostrzeżenie. Zazwyczaj certyfikaty NSA Suite B są zintegrowane z aplikacjami, które łączą się bezpośrednio z bezpiecznymi serwerami. Pamiętaj, że w przeglądarkach istnieje wiele wsparcia dla ECC. ECC jest częścią TLS 1.1, która jest domyślnie obsługiwana tylko w Chrome v22 + [ http://en.wikipedia.org/wiki/Transport_Layer_Security#Browser_implementations ]

będzie Farrell
źródło
Możesz używać kluczy ECC ze wszystkimi głównymi przeglądarkami i serwerami (w rzeczywistości obsługa Schannel w IIS jest lepsza niż w przypadku RSA, ponieważ obsługuje GCM z ECDSA). I nadal możesz podpisywać je za pomocą RSA, tak robi na przykład Comodo. (niestety IE i Chrome proponują tylko krzywe NIST).
eckes
1
ECC nie jest „częścią” TLS1.1. Został zdefiniowany jako opcja dla 1.0 i tak jest w 1.1 i 1.2. Wdrożenie i wykorzystanie wzrosło z czasem w tym samym czasie, co nowsze protokoły, więc prawdopodobnie znajdziesz ECC z> = 1.1, ale nie jest to wymagane.
dave_thompson_085
3

Nie sądzę, aby Certicom uniemożliwiał stosowanie krzywej eliptycznej, Urząd Certyfikacji MS2008 oferuje pakiet B. Jestem pewien, że w związku z tym najnowsza wersja klienta Windows w 7 obsługuje jego użycie. Idę i popatrzę, to będzie podsystem MS kryptograficzny, który będzie go obsługiwał (CryptoAPI), a to ma architekturę CSP wtyczki, która pozwoli mu obsługiwać go dość łatwo.

Z dokumentacji powierzenia na ten temat zaczerpnięto: -


Wszystkie główne produkty oprogramowania CA obsługują ECDSA, zarówno w przypadku podpisywania certyfikatów i CRL, jak i kluczy publicznych użytkowników końcowych. Tak więc w przypadku aplikacji wymagających tylko uwierzytelnienia i podpisów cyfrowych pozyskanie odpowiedniego produktu CA nie powinno być trudne. Wolniejsze tempo standaryzacji uzgadniania kluczy w oparciu o ECC dodaje niepewności dla aplikacji, które również wymagają szyfrowania. Jednak wszyscy główni dostawcy oprogramowania CA mają zaawansowane plany obsługi kluczy ECDH w certyfikatach użytkowników końcowych. Planowanie w tym obszarze niesie zatem niewielkie ryzyko. Z drugiej strony wdrożenie musi czekać na realizację tych planów w zakresie wysyłki produktów


ECC wymaga mniejszej mocy obliczeniowej niż RSA i dlatego jest użyteczny w systemach wbudowanych, takich jak karty inteligentne, oraz w urządzeniach z mniej wydajnymi procesorami, takimi jak routery bezprzewodowe. Może to być przydatne dla serwerów sieciowych, ponieważ wymagałoby mniej przetwarzania przez serwer sieciowy do obsługi operacji wymiany kluczy TLS z oczywistymi korzyściami dla obsługi dużej ilości bezpiecznego ruchu. Myślę, że czynniki te będą napędzać popyt, a także będzie wysoki popyt ze strony sektora rządowego na całym świecie, które zwracają szczególną uwagę na NIST. Pomoże to również rozwinąć technologię, ponieważ dostawcy chcą sprzedawać w tym sektorze.

Mark Sutton
http://www.blacktipconsulting.com

Mark Sutton
źródło
Pakiet obsługi Windows 7, Vista SP1 i 2008 technet.microsoft.com/en-us/library/dd566200%28WS.10%29.aspx
Mark Sutton,
Dziękuję za wkład, Mark. Odkryłem, że obsługa bibliotek ECC w bibliotece jest całkiem dobra (w tym kluczowa umowa) i z powodzeniem wykorzystałem ją w aplikacjach wewnętrznych, w których możemy używać certyfikatów, które sami „wystawiamy”. Ale nie byłem w stanie znaleźć urzędu certyfikacji gotowego sprzedać mi certyfikat ECDSA do użytku publicznego.
erickson,
Mark, zaktualizowałem swoje pytanie, aby podkreślić to, czego szukam. Twoja odpowiedź zawiera przydatne informacje na temat problemu, ale kluczowe pytanie brzmi: „Gdzie mogę uzyskać certyfikat?”
erickson,