Úvodní stránka » Bezpečnost » Přichází nové algoritmy pro SSL certifikáty

Přichází nové algoritmy pro SSL certifikáty

(30. 5. 2013) Se zvyšujícím se výkonem počítačů a vybavenosti útočníků je třeba neustále zvyšovat úroveň zabezpečení. Rád bych vám představil novinky, které přináší certifikační autorita Symantec. Největší novinkou je zavedení nových algoritmů založených na kryptografii eliptických křivek (ECC).

Algoritmus RSA a DSA

šifrovací algoritmus RSA a DSAV současnosti nejpoužívanějším šifrovacím algoritmem je algoritmus RSA, který vznikl v roce 1977. Algoritmus vychází z řešení matematického problému faktorizace, kdy rozložení velkého čísla na součin prvočísel je výpočetně složitá úloha.  Algoritmus RSA je při dostatečné délce klíče stále bezpečný a je i v dnešní době vhodný pro šifrování i podepisování.

Certifikační autorita Symantec letos zavedla možnost využít šifrovací algoritmus DSA. Algoritmus DSA vznikl v roce 1991 v Národní bezpečnostní agentuře Spojených států a splňuje jejich požadavky a standardy. Funguje prakticky stejně jako RSA, ale používá jiný algoritmus pro podpis a šifrování.

Certifikační autorita Symantec umožňuje vystavení certifikátu s DSA algoritmem k již existujícímu RSA certifikátu. Můžete tedy využít druhý certifikát k testování, nebo jako zálohu. Tato možnost je dostupná zdarma a v budoucnu bude dostupná i pro ostatní používané algoritmy.

Kryptografie eliptických křivek


Kryptografie eliptických křivekJiž tento rok nás u certifikačních autorit Symantec čeká nasazení nových algoritmů založených na kryptografii eliptických křivek (ECC). Nabídka SSL certifikátů bude doplněna i o tento algoritmus a vlastníci SSL certifikátů budou moci využít toto nejmodernější šifrování. Podobně jako algoritmus DSA mají tyto nové algoritmy doporučení Národní bezpečností agentury Spojených států.

Šifrování je u těchto algoritmů založeno na představě použití dvou bodů na křivce k definování veřejného a privátního klíče. Systém je založen na složitějším matematickém problému, než v případě RSA a DSA algoritmů.

Algoritmus je vhodný pro silné šifrování, zejména v mobilních zařízeních, jako jsou chytré telefony a tablety. V těchto mobilních zařízeních se ocitá stále více citlivých dat a používají se na přístup k citlivým stránkám, jako je například internetbanking. 

S ohledem na tyto přenosné zařízení je též vhodné, aby šifrovací algoritmus nebyl příliš náročný na výkon. K tomu algoritmům odvozeným od ECC pomáhá kratší šifrovací klíč. Na běžných serverech může díky kratšímu klíči pomoci k nižší zátěži hardwaru, v důsledku potom k více současným SSL spojením a jejich rychlejšímu zpracování. Klíč o délce 256 bitů poskytuje srovnatelnou úroveň bezpečnosti, jako klíč RSA o 3072 bitech.

Hašovací algoritmus SHA-2

Otisk dat, neboli haš (anglicky hash), se používá pro kontrolu úplnosti a neporušenosti dat. Krom běžného použití, například pro ověření dat stažených z internetu, se haše používají i v kryptografii a SSL certifikátech. Jsou součástí elektronického podpisu. 

Jak takové ověření funguje? Pro určitá data se vytvoří otisk, což je různě velké číslo v závislosti na použitém algoritmu. Ten by měl zajistit, že toto číslo je unikátní a nelze ho dosáhnout při vytvoření otisku jiných dat. Pokud se jakkoliv změní data na vstupu, výrazně se změní i haš na výstupu.

Algoritmus je považován jako bezpečný, pokud není možné vytvořit stejný otisk s různými daty; pokud však ano, jev se nazývá kolize. Vzhledem k výhradám, které bezpečností odborníci mají k současně používanému hašovacímu algoritmu SHA-1, bude tento algoritmus časem plně nahrazen silnějším SHA-2. Dříve podobně došlo k nahrazení kolizního MD5 silnějším algoritmem SHA-1, protože haš s použitím MD5 nedostačoval aktuálním požadavků na bezpečnost.

Dnes již můžete zvýšit bezpečnost svého SSL certifikátu tím, že využijete silnější hašovací algoritmus SHA-2. Certifikační autorita při podpisu certifikátu použije tento silnější haš. Stávající certifikáty je možno nechat zdarma přegenerovat.

Hašovací funkce SHA-2 není podporovaná systémem Windows XP SP 2. Podpora hašovacích algoritmů SHA-2 (krom SHA-224) byla přidána v balíku SP3.

Jak tyto novinky využít?

Pokud máte zájem zvýšit bezpečnost vašeho SSL certifikátu, a v důsledku i bezpečnost návštěvníků vašeho webu, neváhejte se obrátit na naši zákaznickou podporu, která vám pomůže tyto nové možnosti využít. 

Bc. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Přidat komentář

Zvýrazněné položky jsou povinné.


Rubriky

  • Aktuality
  • Novinky ze SSLmarketu
  • Bezpečnost
  • Zajímavosti o SSL
  • Návody k SSL
  • Týden v bezpečnosti
  • Podepisování kódu (Code Signing)
  • Speciály

  • Jak šifrovaně tunelovat s OpenVPN
  • Dvoufaktorová autentizace
  • Spojte se s námi

  • RSS kanál SSL blogu
  • SSLmarket na Facebooku
  • SSLmarket na Twitteru
  • SSLmarket na Google+
  • Kontakt
  • SSL market