私は周りを見回しましたが、ルート署名にRSA2048を使用しているWebサイトと、暗号化にECCを使用しているWebサイトがいくつかあります。
TLSルート署名にECCを使用していないように思われる理由はありますか?
X.509にECCを使用することに欠点はありますか? -確かにそれが可能なら?
ほとんどのルート証明書には、ECC公開鍵ではなくRSA公開鍵が含まれているため、ECDSAを使用してルート証明書による署名を確認することは一般的ではありません。さらに、ルート証明書はクライアントデバイスにインストールする必要があるため、証明書の更新や新しい証明書の追加には、ロジスティックな課題があります。しかし、Mike Ounsworthが 彼の回答 で指摘しているように、 Entrust Root Certificate Authority—EC1 証明書など、ECC公開鍵を持ついくつかのルート証明書があります。
NISTには、シマンテックのシニアテクニカルディレクター兼Distinguished EngineerであるRick Andrewsによる SimmantecのWeb上のECDSAの現状に関するスライドデッキがあります ( 2015年に発表されました)優れた洞察を提供します。
ECDSA証明書の市場を阻んでいるものは何ですか?
- 2003年のNSA-Certicomライセンスによって法的/ IPの懸念が緩和されなかった
- Snowden後のスイートBカーブの選択に対する不信、特にヨーロッパ
- クライアントサポートの欠如(Windows XPおよびスマートTVや日本の多機能携帯電話などの従来とは異なるデバイス)
- RSAは壊れていません。新しいアルゴリズムを試すリスク;意識の一般的な欠如
- Webサーバーでのデュアルスタックサポートの欠如(Apacheを除く– を参照)http://httpd.Apache.org/docs/2.4/mod/mod_ssl.html#comment_970 )
- ECDHEをサポートするクライアントには、ECDSAルートがない場合があります。サーバーが知るのは難しい
- ECDSAルートはEV対応ではない可能性があります
- クライアント側のパフォーマンスペナルティ(一般的に使用されるキーサイズの署名検証では、ECDSAはRSAよりも遅い)
- 「ECDSAで技術的な問題があったと聞いた」–(暗号で保護されたランダムな整数が選択されていない場合、秘密鍵を判別できます)
新しい曲線の影響
- IPの問題が解消されない場合、影響はおそらく抑制されます
- CAはHSMおよびソフトウェアツールキットでのサポートが必要
- CAは、新しい曲線を使用したルートの展開の遅延を回避するために、既存のP256またはP-384ルートを使用して新しい曲線からキーに署名する可能性が最も高い
- 既存のRSAルートまたは中間体との署名はIPリスクを伴いますが、ルートのユビキタス問題を軽減します
- CAは最初は新しい曲線で中間CA証明書を作成しない場合がありますが、鍵の所有証明を実行する必要があります。通常はCSRの署名をチェックすることで行われ、CAのHSMとソフトウェアツールキットでの新しいキーカーブのサポートが必要です。
- ブラウザおよびWebサーバーベンダーは新しい曲線をサポートする必要があります
TL; DR:ECCには技術的に問題はありません。実際、RSAよりも帯域幅とサーバーのCPU負荷が優れています(ただし、@ CodesInChaosのおかげで、ブラウザーでのCPU負荷が高くなります)。ただし、歴史的な理由から、採用されたことはありません。
免責事項:私はEntrust Datacardで働いています
Entrustは、公的に信頼されているCAの1つであり、RSA SHA-1、RSA SHA-2、およびECC P-384については、公的に信頼された個別のPKI(ルート+中間体)があります。 Entrust Root Certificates Download page を参照してください。
このページの互換性の表は、ECCが実際に離陸しなかった理由についての質問にも答えています。クライアント/ブラウザー/ OSは、ECCの採用に時間がかかりました。 NISTや他の機関がECCへの移行を促す時期もありましたが、下位互換性の問題のため、ウェブサイト管理者は躊躇していました。現在、事実上すべてが今日のECCを理解していますが、それはちょっとしたことではありません。
また、NSAはECCの大きな推進力の1つでしたが、2015年8月に声明を発表しました(出典: wikipedia ):
「残念ながら、楕円曲線の使用の増加は、量子コンピューティングの研究の継続的な進歩という事実にぶつかっており、私たちの暗号戦略の再評価を必要としています。」 NSA推奨:「スイートBアルゴリズムへの移行をまだ行っていないパートナーおよびベンダーの場合、現時点では大幅な支出をせず、今後の準備に備えることをお勧めします。量子耐性アルゴリズム遷移。」
そのため、RSAからECCへの移行をまだ検討している人は誰でも、努力を費やす理由がありませんでした。