TLSルート証明書の署名にECCを使用していないように見えるのはなぜですか？

NISTには、シマンテックのシニアテクニカルディレクター兼Distinguished EngineerであるRick Andrewsによる SimmantecのWeb上のECDSAの現状に関するスライドデッキがあります （ 2015年に発表されました）優れた洞察を提供します。

ECDSA証明書の市場を阻んでいるものは何ですか？

• 2003年のNSA-Certicomライセンスによって法的/ IPの懸念が緩和されなかった
• Snowden後のスイートBカーブの選択に対する不信、特にヨーロッパ
• クライアントサポートの欠如（Windows XPおよびスマートTVや日本の多機能携帯電話などの従来とは異なるデバイス）
• RSAは壊れていません。新しいアルゴリズムを試すリスク;意識の一般的な欠如
• Webサーバーでのデュアルスタックサポートの欠如（Apacheを除く– を参照）http://httpd.Apache.org/docs/2.4/mod/mod_ssl.html#comment_970 ）
• ECDHEをサポートするクライアントには、ECDSAルートがない場合があります。サーバーが知るのは難しい
• ECDSAルートはEV対応ではない可能性があります
• クライアント側のパフォーマンスペナルティ（一般的に使用されるキーサイズの署名検証では、ECDSAはRSAよりも遅い）
• 「ECDSAで技術的な問題があったと聞いた」–（暗号で保護されたランダムな整数が選択されていない場合、秘密鍵を判別できます）

新しい曲線の影響

• IPの問題が解消されない場合、影響はおそらく抑制されます
• CAはHSMおよびソフトウェアツールキットでのサポートが必要
• CAは、新しい曲線を使用したルートの展開の遅延を回避するために、既存のP256またはP-384ルートを使用して新しい曲線からキーに署名する可能性が最も高い
• 既存のRSAルートまたは中間体との署名はIPリスクを伴いますが、ルートのユビキタス問題を軽減します
• CAは最初は新しい曲線で中間CA証明書を作成しない場合がありますが、鍵の所有証明を実行する必要があります。通常はCSRの署名をチェックすることで行われ、CAのHSMとソフトウェアツールキットでの新しいキーカーブのサポートが必要です。
• ブラウザおよびWebサーバーベンダーは新しい曲線をサポートする必要があります

TL; DR：ECCには技術的に問題はありません。実際、RSAよりも帯域幅とサーバーのCPU負荷が優れています（ただし、@ CodesInChaosのおかげで、ブラウザーでのCPU負荷が高くなります）。ただし、歴史的な理由から、採用されたことはありません。

免責事項：私はEntrust Datacardで働いています

Entrustは、公的に信頼されているCAの1つであり、RSA SHA-1、RSA SHA-2、およびECC P-384については、公的に信頼された個別のPKI（ルート+中間体）があります。 Entrust Root Certificates Download page を参照してください。

このページの互換性の表は、ECCが実際に離陸しなかった理由についての質問にも答えています。クライアント/ブラウザー/ OSは、ECCの採用に時間がかかりました。 NISTや他の機関がECCへの移行を促す時期もありましたが、下位互換性の問題のため、ウェブサイト管理者は躊躇していました。現在、事実上すべてが今日のECCを理解していますが、それはちょっとしたことではありません。

また、NSAはECCの大きな推進力の1つでしたが、2015年8月に声明を発表しました（出典： wikipedia ）：

「残念ながら、楕円曲線の使用の増加は、量子コンピューティングの研究の継続的な進歩という事実にぶつかっており、私たちの暗号戦略の再評価を必要としています。」 NSA推奨：「スイートBアルゴリズムへの移行をまだ行っていないパートナーおよびベンダーの場合、現時点では大幅な支出をせず、今後の準備に備えることをお勧めします。量子耐性アルゴリズム遷移。」

そのため、RSAからECCへの移行をまだ検討している人は誰でも、努力を費やす理由がありませんでした。