Security Professionals - ipfw add deny all from eindgebruikers to any

Cisco: gebruik 3072 ipv 2048 bits asymmetrische sleutels (RSA, DH)

28-10-2015, 13:44 door Erik van Straten, 14 reacties
TL;DR: tenzij er dringende redenen zijn om het niet te doen: gebruik voortaan DH sleutels van (minimaal) 3072 bits op TLS servers, en genereer asymmetrische sleutels van 3072 bits voor gebruik in certificaten. Disclaimer: deze nieuwe "best current practice" biedt geen enkele zekerheid zodra quantum computers hun belofte waarmaken.

Cisco NGE
in http://blogs.cisco.com/security/cisco-next-generation-encryption-and-postquantum-cryptography las ik dat Cisco eerder deze maand haar "NGE" (Next Generation Encryption) pagina heeft bijgewerkt: http://www.cisco.com/web/about/security/intelligence/nextgen_crypto.html.

Post-Quantum Cryptografie
In de Cisco NGE pagina is ook te zien welke cryptografische algoritmes bestand zijn tegen toekomstige aanvallen met quantum-computers. Nb. op dit moment vormen quantum-computers, voor zover bekend, nog geen realistisch gevaar voor welk cryptografisch algoritme dan ook (zie bijv. deze reactie van Peter Gutmann: http://www.metzdowd.com/pipermail/cryptography/2015-September/026375.html).

Nu is het ook niet zo dat je hier in alle gevallen je schouders over moet ophalen: als het gaat om informatie die je nu versleutelt en/of digitaal ondertekent, en die over langere tijd (zeg 10 jaar of langer) nog steeds ontoegankelijk moet zijn voor mensen zonder sleutel en/of de digitale handtekening nog steeds betrouwbaar geauthenticeerd moet kunnen worden, is het verstandig om de risico's zo goed mogelijk in te schatten (daar zou een kristallen bol wel eens bij van pas kunnen komen). Het gaat daarbij niet alleen om de gevaren van sneller toegenomen (specifieke) rekenkracht dan verwacht, maar zeker ook om gebreken in algoritmes en onjuiste implementaties.

Minimale sleutellengtes
Opvallend in de Cisco NGE pagina vind ik Appendix A "Minimum Cryptography Recommendations" (http://www.cisco.com/web/about/security/intelligence/nextgen_crypto.html#16), waarin ik voor het eerst zie dat voor asymmetrische cryptografie (RSA, Diffie-Hellman) sleutellengtes van 3072 bits (i.p.v. de nu gangbare 2048 bits) worden aangeraden, zonder dat ik daar een onderbouwing voor kan vinden. Sterker, in "Table 1. Recommendations for Cryptographic Algorithms" wordt het gebruik van zowel 2048 als 3072 sleutels "acceptable" genoemd, en dat is in strijd met Appendix A.

Mogelijke onderbouwing voor 3072 ipv 2048
In de NGE pagina verwijst Cisco o.a. naar NIST SP 800-131. Echter, in de laatste draft van SP 800-131 A (http://csrc.nist.gov/publications/drafts/800-131A/sp800-131a_r1_draft.pdf) zie ik zo snel geen getallen groter dan 2048.

En dat is merkwaardig, want reeds in http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57_part1_rev3_general.pdf van juli 2012 wordt de sterkte van een asymmetrische sleutel ("gewoon", d.w.z. niet ECC = Elliptic Curve Cryptografie) van 2048 bits gelijkgesteld met een symmetrische sleutel van 112 bits (zoals toegepast bij 3DES; o.a. omdat we symmetrische sleutels van minstens 128 bits willen zou 3DES niet meer moeten worden toegepast, maar wordt vaak nog wel ondersteund voor legacy toepassingen waaronder stokoude webbrowsers). En 3072 bits asymmetrisch (non-ECC) wordt gelijkgesteld aan 128 bits symmetrisch (bijv. AES-128).

Van het laatstgenoemde document (SP800-57 part 1) is in september 2015 een nieuwe draft verschenen (http://csrc.nist.gov/publications/drafts/800-57/sp800-57p1r4_draft.pdf). Zo te zien is er, sinds de vorige draft, niets gewijzigd in "Table 2: Comparable strengths" van symmetrische versus asymmetrische algoritmes (de laatste 3 jaar lijkt hier dus niets in te zijn veranderd, ook niet door een mogelijk toegenomen dreiging van quantum computing).

Conclusie
Ik vermoed dat Cisco in Appendix A van haar NGE uitgaat van een equivalente sterkte van minimaal 128 bits symmetrisch, en dus 3072 bits asymmetrisch (non-ECC). Ik ben het met Cisco eens dat het verstandig is om dit vanaf nu in de praktijk de standaard te maken.

Nb. het nut van een certificaat met een 3072 bits RSA sleutel is beperkt indien dat certificaat is ondertekend (door een CSP = Certificate Service Provider) met een kleinere sleutel. Daarentegen, grotere DH sleutels bieden wel meteen een onvoorwaardelijk betere bescherming. Aangezien authenticatie (certificaat - meestal met RSA sleutel), in het geval van https, alleen van belang is bij het opzetten van de verbinding, en DH de vertouwelijkheid vaak gedurende een lange periode moet kunnen beschermen (denk aan aanvallers die versleutelde sessies opslaan en na enkele jaren proberen te decrypten), is mijn advies te beginnen met 3072 bit DH sleutels (als je nog 2048 of kleiner gebruikt) en pas daarna te focussen op langere sleutels voor certificaten.
Reacties (14)
28-10-2015, 14:52 door Anoniem
Dat heeft waarschijnlijk met https://www.nsa.gov/ia/programs/suiteb_cryptography/ te maken. :)
28-10-2015, 21:53 door ej__ - Bijgewerkt: 28-10-2015, 21:54
Oftewel voorbereiding voor/tegen quantum computers...

Bovengenoemd artikel is uiteraard de bron van het cisco verhaal.
29-10-2015, 17:22 door MeowSec - Bijgewerkt: 29-10-2015, 17:24
ik gebruik op mijn server al 4096 keys and AES-512 ipv 2048 en AES-128
29-10-2015, 18:05 door ej__
AES-512 bestaat niet.
29-10-2015, 18:52 door MeowSec - Bijgewerkt: 29-10-2015, 18:53
http://someimage.com/4bQZilh

sha-512 sorry :) was andere dingen aan het lezen over aes dus op die manier een mixup.
29-10-2015, 18:57 door ej__
Ah, wilde al reageren met http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf

;) Dat is nu niet meer nodig.

Maar als je SHA-512 gebruikt, en 4096 bits RSA keys, waarom dan AES-128 in plaats van het veel sterkere AES-256?
29-10-2015, 19:04 door MeowSec
hij laat hem idd als AES_128_GCM met exdhe_rsa zelfde als op https://security.nl

heb geen optie gevonden om er 256 van te maken. misschien moet ik dat handmatig doen.
29-10-2015, 19:35 door Anoniem
Door Erik van Straten: TL;DR: tenzij er dringende redenen zijn om het niet te doen: gebruik voortaan DH sleutels van (minimaal) 3072 bits op TLS servers, en genereer asymmetrische sleutels van 3072 bits voor gebruik in certificaten. Disclaimer: deze nieuwe "best current practice" biedt geen enkele zekerheid zodra quantum computers hun belofte waarmaken.


[knip]

Je hebt een hoop bij elkaar gezocht.
Ook een verwante analyze is het volgende document :
https://eprint.iacr.org/2015/1018.pdf

Dit is een paper van Neal Koblitz en Alfred Menezes (beiden serieuze crypto experts) met een analyze van motieven en mogelijkheden van de oproep van de NSA voor 'Post Quantum Cryptography' en de NSAs positie mbt tot ECC (Elliptic Curve Cryptography ).

Speculeren over de NSA kan iedereen, maar die analyzes van mensen die echt de state of the art van (publieke) research kennen zijn toch net wat beter onderbouwd .
29-10-2015, 20:39 door beaukey
Oud nieuws. Misschien even de website lezen van mensen die er echt verstand van hebben: http://www.keylength.com/
Tip: kijk even naar de sectie:"Fact Sheet NSA Suite B Cryptography (2015)" (US) en "BSI Recommendations (2015)" (DE)
03-11-2015, 08:12 door Overcome
Door beaukey: Oud nieuws. Misschien even de website lezen van mensen die er echt verstand van hebben: http://www.keylength.com/
Tip: kijk even naar de sectie:"Fact Sheet NSA Suite B Cryptography (2015)" (US) en "BSI Recommendations (2015)" (DE)

Het bij elkaar harken van geadviseerde sleutellengtes impliceert nog geen verstand van cryptografie :).

Daarnaast: de NSA fact sheet op http://www.keylength.com/ verwijst nog naar het gebruik van ECC, terwijl de nieuwe strategie van de NSA aangeeft dat het pad van ECC niet ingeslagen moet worden, zoals is te lezen op https://www.nsa.gov/ia/programs/suiteb_cryptography/:

Unfortunately, the growth of elliptic curve use has bumped up against the fact of continued progress in the research on quantum computing, which has made it clear that elliptic curve cryptography is not the long term solution many once hoped it would be. Thus, we have been obligated to update our strategy.

Het artikel van Koblitz en Menezes dat hierboven wordt geciteerd (niet wiskundig, en voor iedereen aan te raden die in cryptografie is geïnteresseerd) gaat daar verder op in.
03-11-2015, 17:23 door Erik van Straten
29-10-2015, 19:35 door Anoniem: Je hebt een hoop bij elkaar gezocht.
[knip]
Speculeren over de NSA kan iedereen, maar die analyzes van mensen die echt de state of the art van (publieke) research kennen zijn toch net wat beter onderbouwd .
Om misverstanden te voorkomen: ik ben geen cryptografie expert, wel probeer ik e.e.a. te volgen zodat ik begrijp hoe het echt niet moet, het in de praktijk kan toepassen en beheerders erover kan adviseren. Daarnaast speculeer ik in bovenstaande bijdrage niet over de NSA en dergelijke.

Ik zag de NGE pagina van Cisco en constateerde dat hun advies afwijkt van andere adviezen (bijv. https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf van o.a. Nadia Heninger en Matthew Green heeft het over 2048 bits of groter, maar noemt nergens 3072 als ondergrens). Wellicht had ik het in de TL;DR sectie duidelijk moeten maken dat het niet primair mijn is maar van Cisco; uit de titel en de rest van mijn bijdrage blijkt dat m.i. wel. Overigens ben ik het wel eens met het advies van Cisco om grotere asymmetrische sleutels te gebruiken, uitgaande van de aanname dat 3072 bits asymmetrisch ongeveer even sterk is als 128 bits symmetrisch.

29-10-2015, 19:35 door Anoniem: Ook een verwante analyze is het volgende document :
https://eprint.iacr.org/2015/1018.pdf
Dank voor de link, en Overcome voor het mij "wakkerschudden"!
03-11-2015, 23:42 door Anoniem
Door Erik van Straten:
29-10-2015, 19:35 door Anoniem: Je hebt een hoop bij elkaar gezocht.
[knip]
Speculeren over de NSA kan iedereen, maar die analyzes van mensen die echt de state of the art van (publieke) research kennen zijn toch net wat beter onderbouwd .
Om misverstanden te voorkomen: ik ben geen cryptografie expert, wel probeer ik e.e.a. te volgen zodat ik begrijp hoe het echt niet moet, het in de praktijk kan toepassen en beheerders erover kan adviseren. Daarnaast speculeer ik in bovenstaande bijdrage niet over de NSA en dergelijke.

Ik zag de NGE pagina van Cisco en constateerde dat hun advies afwijkt van andere adviezen (bijv. https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf van o.a. Nadia Heninger en Matthew Green heeft het over 2048 bits of groter, maar noemt nergens 3072 als ondergrens). Wellicht had ik het in de TL;DR sectie duidelijk moeten maken dat het niet primair mijn is maar van Cisco; uit de titel en de rest van mijn bijdrage blijkt dat m.i. wel. Overigens ben ik het wel eens met het advies van Cisco om grotere asymmetrische sleutels te gebruiken, uitgaande van de aanname dat 3072 bits asymmetrisch ongeveer even sterk is als 128 bits symmetrisch.

29-10-2015, 19:35 door Anoniem: Ook een verwante analyze is het volgende document :
https://eprint.iacr.org/2015/1018.pdf
Dank voor de link, en Overcome voor het mij "wakkerschudden"!

Ik schreef 29-10 19:35 .

In je volgorde van quoten lijkt mijn tekst botter dan bedoeld.
Ik noemde het paper omdat het interessant is , en qua onderwerp ._verwant_ aan wat je schreef over (post quantum) keysizes .
Vandaar een 'verwante analyse' .
Mijn uitspraak over 'speculeren over de NSA' sloeg slechts op wat de auteurs van het paper doen - iets wat veel mensen makkelijk doen, maar alleen een zekere waarde als de speculaties gefundeerd zijn omdat de auteur een expert is.

Niet op jouw posting.

Verder denk ik dat 'Overcome' niet direct op jou doelde met 'lijstjes harken maakt nog geen expert" , maar op ( de link van ) beaukey (20:39) .
04-11-2015, 07:18 door Erik van Straten
@Anoniem 03-11-2015 23:42: geen probleem hoor! Het blijft lastig: beknopte bijdragen kunnen vaak op verschillende manieren worden uitgelegd, en lange bijdragen worden door bijna niemand gelezen. Hoe dan ook, dit is m.i. weer een prima thread met interessante bijdragen geworden!
04-11-2015, 08:46 door beaukey

Het bij elkaar harken van geadviseerde sleutellengtes impliceert nog geen verstand van cryptografie :)

Ik denk dat Lenstra en Verheul (oprichters van die site) wel een beetje verstand van crypto hebben...

Maar er zit een kern van waarheid in je reactie. Echt verstand van cryptografie is voorbehouden aan een paar wiskundigen die zich gespecialiseerd hebben. "Crypto leken" zullen de adviezen van cryptografen moeten overnemen en gebruiken bij de implementatie van systemen en architecturen waarin crypto gebruikt wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.