¿Alguna CA conocida emite certificados de curva elíptica?

16

Antecedentes

He visto que Comodo tiene una raíz curva elíptica ("COMODO ECC Certification Authority"), pero no veo mención de certificados EC en su sitio web.

¿Certicom tiene derechos de propiedad intelectual que impiden a otros emisores ofrecer certificados CE? ¿Un navegador ampliamente utilizado no es compatible con ECC? ¿Es ECC un mal ajuste para el uso tradicional de PKI como la autenticación del servidor web? ¿O simplemente no hay demanda?

Estoy interesado en cambiar a curva elíptica debido a la recomendación de NSA Suite B. Pero no parece práctico para muchas aplicaciones.

Criterios de recompensa

Para reclamar la recompensa, una respuesta debe proporcionar un enlace a una página o páginas en el sitio web de una CA conocida que describa las opciones de certificado ECC que ofrecen, los precios y cómo comprar uno. En este contexto, "conocido" significa que el certificado raíz adecuado debe incluirse de manera predeterminada en Firefox 3.5 e IE 8. Si se proporcionan múltiples respuestas calificadas (¡uno puede esperar!), La que tenga el certificado más barato de una CA ubicua ganará la recompensa. Si eso no elimina ningún vínculo (¡todavía espero!), Tendré que elegir una respuesta a mi discreción.

Recuerda, alguien siempre reclama al menos la mitad de la recompensa, así que pruébalo incluso si no tienes todas las respuestas.

ssl ssl-certificate certificate tls erickson
fuente
1
Además, ECC sufre de una extensión del algoritmo de Shor, por lo que los procesadores Quantum pueden romper el ECC (no tan fácilmente como RSA, pero lo suficientemente rápido como para llamarlo roto cuando los procesadores Quantum se vuelven lo suficientemente complejos). Actualmente hay procesadores cuánticos de 4 bits (cuando alcanzan RSA de 1024 bits no tiene ningún valor). No hay un reemplazo bien analizado para RSA o ECC que sea seguro para el procesador Quantum.
Chris S
¿Tal vez las AC intentaban silenciosamente hacernos un favor al no ofrecer certificados CE utilizando curvas con una puerta trasera?
erickson
Es poco probable que ECC tenga una puerta trasera NSA. La última vez que la NSA puso una puerta trasera en algo fue bastante obvio . Recientemente, la gente ha cuestionado los generadores de números aleatorios basados ​​en hardware, citando la falta de entropía como la derrota incluso de los mejores algoritmos.
Chris S
1
Solo para abordar este tema: YouTube tiene un certificado de curva elíptica firmado con la CA de Google (ANSI X9.62 curva elíptica prime256v1 (también conocido como secp256r1, NIST P-256)). El certificado en sí está firmado con RSA-SHA1.
Smit Johnth
De en.wikipedia.org/wiki/NTRU "A diferencia de RSA y la criptografía de curva elíptica, no se sabe que la NTRU sea vulnerable a ataques cuánticos basados ​​en computadora". NTRU ya está en IEEE Std 1363.1 Y, sin embargo, la gente todavía usa RSA2K y discute sobre mudarse a ECC, que, desde 1989, se sabe que es más rápido.

Respuestas:

5

Ahora son emitidos por Comodo como parte de su oferta PositiveSSL. No puedo decir que lo estén publicitando demasiado bien, pero existe una prueba viviente de las matemáticas:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Usuario de StackExchange
fuente
6

Quería profundizar un poco más en esto, así que contacté a la gente de Comodo que son responsables de su ECC CA. Después de un poco de ida y vuelta, me dijeron que a Comodo se les había informado que necesitaban una licencia de Certicom / RIM antes de poder emitir certificados ECC, y que actualmente están en conversaciones sobre licencias con ellos. No dieron una ETA por finalizar esas discusiones, así que quién sabe cuándo puede comprar un certificado.

paulr
fuente
6

Como una actualización rápida, hoy Cloudflare implementó un nuevo certificado para su blog firmado por Comodo y usando ECC ... Supongo que los ECC para el público en general llegarán pronto.

https://blog.cloudflare.com/

Y Verisign (ahora Symantec) ofrece ECC en su línea de certificados Secure Site Pro

Albert Casademont
fuente
Gracias por la actualización Albert! Parece que finalmente estamos allí. Desafortunadamente, desde Snowden, no estoy seguro de confiar en las curvas EC estandarizadas.
erickson
1
Todavía muestra un módulo RSA para mí cuando reviso el certificado (último Firefox estable)
Luc
Sí, lo mismo aquí: veo RSA, no ECDSA.
Eric Mill
Cloudfare se alejó del certificado ECC en blog.cludflare.com (temporal como afirman), pero si sigue el panel de control de ssllabs verá algunas ofertas de alojamiento (servidor: cloudflare-gninex) con certificados ECC de Comodo.
Eckes
5

Encontré este enlace al confiar que me pareció útil. http://www.entrust.net/ecc-certs/index.htm

Básicamente, NSA Suite B no es de confianza a nivel mundial (a nivel raíz) y ninguna CA actualmente (a partir de octubre de 2012) ofrece certificados SSL que cumplan con el estándar. Puede firmar su propio certificado, pero los navegadores modernos mostrarán una advertencia muy desalentadora a los usuarios. Por lo general, los certificados NSA Suite B se integran en aplicaciones que se conectan directamente a servidores seguros. Tenga en cuenta que hay una falta de soporte en los navegadores para ECC. ECC es parte de TLS 1.1, que solo es compatible con Chrome v22 + de forma predeterminada [ http://en.wikipedia.org/wiki/Transport_Layer_Security#Browser_implementations ]

Will Farrell
fuente
Puede usar claves ECC con todos los principales navegadores y servidores (de hecho, el soporte de Schannel en IIS es mejor que para RSA ya que admite GCM con ECDSA). Y aún puede firmar con RSA, esto es lo que hace Comodo, por ejemplo. (e IE y Chrome solo proponen curvas NIST, lamentablemente).
Eckes
1
ECC no es "parte de" TLS1.1. Se definió como una opción para 1.0, y lo sigue siendo en 1.1 y 1.2. La implementación y el uso han crecido con el tiempo durante el mismo tiempo que los protocolos más nuevos, por lo que es probable que encuentre ECC con> = 1.1, pero eso no es un requisito.
dave_thompson_085
3

No creo que Certicom esté impidiendo el uso de la curva elíptica que la Autoridad de Certificación MS2008 ofrece Suite B. Por lo tanto, estoy seguro de que la última versión de clientes Windows en 7 admite su uso. Voy a echar un vistazo, será el subsistema criptográfico de MS que necesitaría ser compatible (CryptoAPI) y tiene una arquitectura CSP de complemento que le permitiría admitirlo con bastante facilidad.

Lo siguiente se toma de la documentación de confianza sobre el tema: -

Todos los principales productos de software de CA son compatibles con ECDSA, tanto para la firma de certificados y CRL como para las claves públicas de usuario final. Por lo tanto, para aplicaciones que solo requieren autenticación y firmas digitales, no debería ser difícil obtener un producto de CA adecuado. El ritmo más lento de estandarización para el acuerdo clave basado en ECC agrega cierta incertidumbre para las aplicaciones que también requieren cifrado. Sin embargo, los principales proveedores de software de CA tienen planes avanzados para admitir claves ECDH en los certificados de usuario final. Por lo tanto, planificar en esta área conlleva un riesgo menor. La implementación, por otro lado, debe esperar la realización de estos planes en el envío de productos

ECC requiere menos potencia de cálculo que RSA y, por lo tanto, es útil para sistemas integrados como tarjetas inteligentes y para dispositivos con procesadores menos potentes como enrutadores inalámbricos. Podría ser útil para los servidores web, ya que requeriría menos procesamiento por parte del servidor web para admitir las operaciones de intercambio de claves TLS con beneficios obvios para admitir grandes cantidades de tráfico seguro. Creo que estos factores impulsarán la demanda y también habrá una gran demanda del sector gubernamental, en todo el mundo, que presta mucha atención al NIST. Esto también ayudará a impulsar la tecnología a medida que los vendedores busquen vender en este sector.

Mark Sutton
http://www.blacktipconsulting.com

Mark Sutton
fuente
Windows 7, vista sp1 y suite de soporte 2008 technet.microsoft.com/en-us/library/dd566200%28WS.10%29.aspx
Mark Sutton
Gracias por tu aporte, Mark. He encontrado que el soporte de la biblioteca para ECC es bastante bueno (incluido el acuerdo clave), y lo he utilizado con éxito en aplicaciones internas donde podemos usar certificados que "emitimos" nosotros mismos. Pero no he podido encontrar una CA lista para venderme un certificado ECDSA para uso público.
erickson
Mark, actualicé mi pregunta para enfatizar lo que estoy buscando. Su respuesta proporciona información útil sobre el tema, pero la pregunta clave es: "¿Dónde puedo obtener un certificado?"
erickson