Question Quoi de mieux pour les clés GPG - RSA ou DSA?


ssh-keygen par défaut à la création de clés RSA, mais gpg --gen-key préfère DSA / ElGamal.

Lequel - RSA ou DSA - est mieux pour GPG?


56
2017-07-26 13:39


origine


Voir également cette question StackOverflow aussi bien que ma réponse à un duplicata de cette question, qui discute Pourquoi RSA est nettement plus sécurisé que DSA, à la fois en 2010 et avec les vulnérabilités connues d’aujourd’hui (toutes pour DSA). - Adam Katz


Réponses:


Les responsables de GPG pensent à changer la valeur par défaut en RSA (la source: Faire face à la faiblesse de SHA-1 [LWN.net]). Donc, il semble qu'ils pensent que le RSA est actuellement la meilleure option (et qu'ils devraient en savoir plus que vous ou moi).


35
2017-07-26 16:30





RSA et DSA - idées fausses et informations utiles
a quelques vieux RSA références et la récente DSA référence,


En 2003, Signatures RSA vs DSA - Le gagnant est ... - RSA.

Donc, fondamentalement, la génération de clé est incroyablement plus rapide pour DSA, ce qui est logique si vous comprenez les algorithmes. La signature est également plus rapide pour DSA, mais pas pour autant. La grande force de RSA est vérification qui est beaucoup plus rapide que DSA.

Récent Projet IETF: DSA avec SHA-2 pour DNSSEC, Expirant le 7 janvier 2010.
Il a quelques raisons de promouvoir DSA sur RSA aujourd'hui.

Utiliser DSA avec SHA-256 dans DNSSEC en a avantages et       désavantages par rapport à l'utilisation de RSA avec SHA-256 lors de l'utilisation de 2048 bits      clés. Les signatures DSA sont beaucoup plus courtes que les signatures RSA; à ceci      taille, la différence est de 512 bits verus 2048 bits. Sur typique      plates-formes utilisant des clés de 2048 bits, la signature de DSA est environ trois fois      plus rapide que pour RSA, mais la vérification des signatures RSA est supérieure à dix      fois plus rapide que pour DSA.

La force cryptographique de DSA est généralement considérée comme      équivalent à RSA lorsque la clé publique DSA et les clés publiques RSA sont      la même taille. Une telle évaluation pourrait bien entendu modifier la      l'avenir si de nouvelles attaques qui fonctionnent mieux avec l'un ou l'autre      des algorithmes sont trouvés.

Il n'y a actuellement aucune attaque connue sur l'ensemble spécifique de DSA      paramètres choisis pour ce document. Une telle évaluation pourrait, de      Bien sûr, changer dans le futur.

Mais, ce n'est qu'un Brouillon en ce moment.

Tout le monde aime la vitesse de vérification de RSA (!).


23
2017-07-26 16:27





RSA. Certaines faiblesses ont été découvertes dans SHA-1, qui est le hachage utilisé par DSA. Debian sont la migration  toutes leurs clés de DSA à RSA.


8
2017-07-26 13:48





Citant un discussion sur le forum:

Mon conseil serait d'utiliser une clé de signature RSA (le "primaire" ou "maître"   clé) et une sous-clé RSA pour le cryptage. La raison d’utiliser RSA pour   la signature est principalement parce que RSA vous permet d'utiliser des hachages plus grands que DSA   Est-ce que. DSA2 vous permet également d’utiliser des hachages plus importants, mais RSA a été   supporté pendant plusieurs années de plus que DSA2.

Je pense que si vous l’utilisez de manière standard (c’est-à-dire que vous ne cryptez pas une grande quantité de données), elles se porteront bien.

Je choisirais personnellement RSA parce que j'ai appris l'algorithme, et c'est l'un des plus beaux algorithmes que j'ai jamais vu.


5
2017-07-26 13:45





L'utilisation des algorithmes SHA-2 est également possible et autorisée depuis la révision actuelle de DSS; mais je n'ai pas pu trouver quelle révision GPG suit.

Concernant la spécification DSS actuelle (FIPS-186-3, p. i) toute fonction de hachage spécifiée dans le SHS (FIPS-180-3, p. iv) peut être utilisée:

DSS:

Signature numérique approuvée par FIPS   les algorithmes doivent être utilisés avec un   fonction de hachage appropriée qui est   spécifié dans le SHS.

SHS:

Cette norme spécifie cinq normes sécurisées.   algorithmes de hachage - SHA-1, SHA-224,   SHA-256, SHA-384 et SHA-512 - pour   calculer une représentation condensée   de données électroniques (message).


À la question: Les deux algorithmes sont basés sur des problèmes mathématiques qui ne sont pas sécurisés (RSA utilise le problème de la factorisation des nombres et DSA utilise le problème du logarithme discret), vous ne pouvez pas dire que l’un est plus sûr que l’autre. a jamais été résolu.

Mais en utilisant DSA avec SHA-1, vous pouvez avoir un problème de sécurité, comme déjà dit par pgs.


4
2017-07-26 15:19





Le fait est que cela n'a probablement pas beaucoup d'importance pour vous :) Dans le cadre de la préparation à la génération d'une paire de clés et dans le cadre de la maintenance des paires de clés existantes - quelle que soit la crypto asymétrique choisie: 1) vérification des longueurs de touches recommandées actuelles 2) choisir une base / modulo pour optimiser la signature ou la vérification - en fonction de ce qui sera le plus souvent utilisé (les clés à utiliser pour délivrer des certificats de serveur TLS / SSL doivent être optimisées pour la vérification, car chaque navigateur vérifiera la signature) Les clés utilisées pour les logiciels de signature doivent être optimisées de la même manière 3) assurez-vous de vieillir vos clés - utilisez la même clé pour ssh-auth depuis quelques années, il serait peut-être temps de vous ressaisir même si vous avez choisi une taille de clé encore raisonnable pour l'application d'aujourd'hui.

RSA et DSA ont tous deux été évalués en profondeur; Si vous utilisez une base de code fiable (RSAREF, commercial RSA, Mozilla / Netscape, Microsoft, OpenSSL, etc.), vous ne vous souciez probablement pas du système cryptographique que vous utilisez tant que vous l'utilisez correctement et utilisez les meilleures pratiques actuelles.


1
2017-08-18 19:25