web-dev-qa-db-ja.com

TLSルート証明書の署名にECCを使用していないように見えるのはなぜですか?

私は周りを見回しましたが、ルート署名にRSA2048を使用しているWebサイトと、暗号化にECCを使用しているWebサイトがいくつかあります。

TLSルート署名にECCを使用していないように思われる理由はありますか?

X.509にECCを使用することに欠点はありますか? -確かにそれが可能なら?

23
Woodstock

ほとんどのルート証明書には、ECC公開鍵ではなくRSA公開鍵が含まれているため、ECDSAを使用してルート証明書による署名を確認することは一般的ではありません。さらに、ルート証明書はクライアントデバイスにインストールする必要があるため、証明書の更新や新しい証明書の追加には、ロジスティックな課題があります。しかし、Mike Ounsworthが 彼の回答 で指摘しているように、 Entrust Root Certificate Authority—EC1 証明書など、ECC公開鍵を持ついくつかのルート証明書があります。

16
mti2935

NISTには、シマンテックのシニアテクニカルディレクター兼Distinguished EngineerであるRick Andrewsによる SimmantecのWeb上のECDSAの現状に関するスライドデッキがあります ( 2015年に発表されました)優れた洞察を提供します。

ECDSA証明書の市場を阻んでいるものは何ですか?

  • 2003年のNSA-Certicomライセンスによって法的/ IPの懸念が緩和されなかった
  • Snowden後のスイートBカーブの選択に対する不信、特にヨーロッパ
  • クライアントサポートの欠如(Windows XPおよびスマートTVや日本の多機能携帯電話などの従来とは異なるデバイス)
  • RSAは壊れていません。新しいアルゴリズムを試すリスク;意識の一般的な欠如
  • Webサーバーでのデュアルスタックサポートの欠如(Apacheを除く– を参照)http://httpd.Apache.org/docs/2.4/mod/mod_ssl.html#comment_970
  • ECDHEをサポートするクライアントには、ECDSAルートがない場合があります。サーバーが知るのは難しい
  • ECDSAルートはEV対応ではない可能性があります
  • クライアント側のパフォーマンスペナルティ(一般的に使用されるキーサイズの署名検証では、ECDSAはRSAよりも遅い)
  • 「ECDSAで技術的な問題があったと聞いた」–(暗号で保護されたランダムな整数が選択されていない場合、秘密鍵を判別できます)

新しい曲線の影響

  • IPの問題が解消されない場合、影響はおそらく抑制されます
  • CAはHSMおよびソフトウェアツールキットでのサポートが必要
  • CAは、新しい曲線を使用したルートの展開の遅延を回避するために、既存のP256またはP-384ルートを使用して新しい曲線からキーに署名する可能性が最も高い
  • 既存のRSAルートまたは中間体との署名はIPリスクを伴いますが、ルートのユビキタス問題を軽減します
  • CAは最初は新しい曲線で中間CA証明書を作成しない場合がありますが、鍵の所有証明を実行する必要があります。通常はCSRの署名をチェックすることで行われ、CAのHSMとソフトウェアツールキットでの新しいキーカーブのサポートが必要です。
  • ブラウザおよびWebサーバーベンダーは新しい曲線をサポートする必要があります
37
phbits

TL; DR:ECCには技術的に問題はありません。実際、RSAよりも帯域幅とサーバーのCPU負荷が優れています(ただし、@ CodesInChaosのおかげで、ブラウザーでのCPU負荷が高くなります)。ただし、歴史的な理由から、採用されたことはありません。


免責事項:私はEntrust Datacardで働いています

Entrustは、公的に信頼されているCAの1つであり、RSA SHA-1、RSA SHA-2、およびECC P-384については、公的に信頼された個別のPKI(ルート+中間体)があります。 Entrust Root Certificates Download page を参照してください。

このページの互換性の表は、ECCが実際に離陸しなかった理由についての質問にも答えています。クライアント/ブラウザー/ OSは、ECCの採用に時間がかかりました。 NISTや他の機関がECCへの移行を促す時期もありましたが、下位互換性の問題のため、ウェブサイト管理者は躊躇していました。現在、事実上すべてが今日のECCを理解していますが、それはちょっとしたことではありません。


また、NSAはECCの大きな推進力の1つでしたが、2015年8月に声明を発表しました(出典: wikipedia ):

「残念ながら、楕円曲線の使用の増加は、量子コンピューティングの研究の継続的な進歩という事実にぶつかっており、私たちの暗号戦略の再評価を必要としています。」 NSA推奨:「スイートBアルゴリズムへの移行をまだ行っていないパートナーおよびベンダーの場合、現時点では大幅な支出をせず、今後の準備に備えることをお勧めします。量子耐性アルゴリズム遷移。」

そのため、RSAからECCへの移行をまだ検討している人は誰でも、努力を費やす理由がありませんでした。

24
Mike Ounsworth