RSA与DSA的SSH认证密钥

#1 楼

使用RSA。这就是妙语，现在有理由。如今，已知的最快的分解大整数的算法是“通用数域筛”，它也是解决有限域中以DSA指定的大质数p为模的离散对数问题的最快算法。如果将其视为相等，我们当然会倾向于速度更快的算法。但是同样，没有明确的赢家。
您可以看一下本研究，或者，如果您的计算机上安装了OpenSSL，请运行openssl speed。您会看到，DSA在生成签名时执行得更快，但在验证相同密钥长度的签名时却要慢得多。一般来说，如果您要进行诸如带有签名的文件。签名生成一次（如果花费更长的时间就可以了），但是最终用户可能会更频繁地验证文档签名。
两者都支持某种形式的加密方法，现成的RSA和DSA使用El Gamal。通常，DSA的解密速度更快，但加密速度较慢，而RSA则相反。再一次，您希望解密更快，因为一个加密的文档可能会被多次解密。但最后我保留了杀手级的论点：man ssh-keygen说，DSA密钥的长度必须恰好是1024位，才能与NIST的FIPS 186-2兼容。因此，尽管理论上可以使用更长的DSA密钥（FIPS 186-3也明确允许使用它们），但您仍被限制为1024位。而且，如果您考虑到此[文章]，则对于RSA或DSA而言，我们不再具有1024位的安全性。

#2 楼

现在的问题是一个更大的问题：RSA vs. DSA vs. ECDSA vs. Ed25519。因此：

在BlackHat 2013上的一次演讲表明，在解决复杂性问题方面取得了重大进展，DSA和其他一些算法的实力得以建立，因此可以在数学上很快将其破坏。此外，攻击也有可能（但更难）扩展到RSA。 OpenSSH支持的ECC算法为ECDSA，而自OpenSSH 6.5起为Ed25519。

OpenSSH仅支持ECDSA的NIST曲线，根据这项研究，这些曲线对于NSA后门来说确实很可疑。而且，如果NSA已经能够破解它，那么对其他人来说，它就不会像合适的曲线那样难破解。 Ed25519是相同的东西，但是曲线更好，因此，对于在数学上被破坏的基础算法来说，这是最安全的选择。

此外，DSA和ECDSA具有讨厌的属性：它们通常需要一个称为k的参数来完全随机，秘密和唯一。实际上，这意味着如果您是从随机数生成器较差的计算机（例如相同的k恰好被使用了两次，流量的观察者可以找出您的私钥。 （来源：有关DSA和ECDSA的维基百科，也是这个）。

最重要的是：


不要使用DSA或ECDSA。

Ed25519在数学上可能是最强大的（也是最快的），但尚未得到广泛的支持。另外，默认情况下，它比其他密钥类型具有更强的私钥加密（密码保护）。

如果您不能使用Ed25519，RSA是最好的选择。

#3 楼

在SSH的客户端上，在RSA和DSA之间进行选择并不重要，因为对于相同的密钥大小（使用2048位，您会很高兴），两者都提供了相似的安全性。

SSH协议的版本1仅支持RSA密钥。当定义版本2时，RSA仍获得了专利，因此添加了对DSA的支持，因此可以进行开源的免专利实施。 RSA专利已在10年前到期，因此现在就不用担心。

从理论上讲，在某些非常特殊的情况下，一个或另一个的性能可能会出现问题：如果服务器是一个非常小型计算机（例如，i486），它将更喜欢具有RSA密钥的客户端，因为验证RSA签名比验证DSA签名在计算上更便宜。相反，DSA签名较短（通常为64个字节，而不是256个字节），因此，如果带宽很短，则最好使用DSA。无论如何，您将很难检测到这些影响，更不用说发现它们的重要性了。

在服务器上，首选DSA密钥，因为密钥交换将使用临时Diffie-Hellman密钥，这为“完美的前向保密性”开辟了道路（即，如果一个坏人窃取了服务器私钥，他仍然无法解密他本来会记录的过去的连接）。

#4 楼

与DSA和ECDSA相比，RSA的另一个重要优点是您不需要安全的随机数生成器来创建签名。

要生成签名，（EC）DSA需要一个必须是随机的，秘密的/不可预测的，并且永远不能再次使用。如果违反了其中一个属性，则可以从一个或两个签名中简单地恢复私钥。 Android的SecureRandom实现中的一个错误），并且很难完全防止。从理论上讲，有一种方法可以使（EC）DSA签名依赖于消息和私钥，这可以避免在RNG损坏的情况下完全失败，但是直到此为止集成到您的SSH客户端中（目前尚无OpenSSL发行版本（包括补丁）），我肯定会使用RSA密钥。

#5 楼

作为OpenSSH用户，我不太了解加密技术，我会坚持一个简单的事实：http://www.openssh.com/legacy.html中，它指出SHA1现在默认为禁用，因为它被认为是弱项：


OpenSSH 7.0和更高版本同样禁用ssh-dss（DSA）公钥算法。它也很弱，我们建议不要使用它。

#6 楼

数学可能无关紧要。此线程似乎已下雪。这是路透社于2013年12月20日发表的文章：


（路透社）-作为嵌入加密软件的运动的关键部分，
它可以破解进入广泛使用的计算机路透社获悉，美国国家安全局与美国国家安全局（RSA）达成了价值1000万美元的秘密合同。RSA是计算机安全行业中最具影响力的公司之一。


/>前NSA承包商Edward Snowden泄露的文件显示，
NSA创造并颁布了一个错误的公式来生成随机数，从而在加密产品“纽约”中创建“后门”。
《泰晤士报》 9月报道。路透社随后报道说，RSA通过将其滚动到名为Bsafe的软件工具中而成为该公式的最重要分发者，该工具用于增强个人计算机和许多其他产品的安全性。 />到目前为止，尚未公开的是RSA通过一笔交易获得了1000万美元
，根据两项协议，RSA将BSA软件中NSA公式设置为首选的或默认的数字生成方法。熟悉合同的消息来源
。证券备案显示，尽管这笔钱看似微不足道，但它却占RSA相关部门在过去一年中获得的收入的三分之一以上。


在本“科学星期五”播客中，艾拉询问马特·格林，马丁·海尔曼（公钥密码术的发明者）和菲尔·齐默曼（PGP的创建者），他们认为国家安全局已经破解了：

（大约17:26）


伊拉克：我们知道国家安全局已闯入了哪些事情？

马特：所以我们听到了我们可能会相信真实的事物的数量。 …随机数生成器…我们知道
NSA通过NIST…很可能在某些领域放了门
可以使它们完全破坏这些系统的标准算法中的一个。

Ira：您是说NSA创造了这些后门？ 。因此NIST与NSA合作---法律要求它们。我们以为国家安全局（NSA）通过为美国人开发更多
安全标准来帮助NIST。我们现在怀疑---并且有充分的证据相信---情况恰恰相反。 NIST被用来提出NSA可能打破的标准。


考虑到这些最近的启示，算法的强度似乎基本无关。 RSA似乎是被NSA收购的私有公司，而DSA是由NIST自己创建的，据这些专家称，这在很大程度上是NSA加密研究的前沿。如果您使用的是几乎任何现代计算机都随附的随机数生成器，那么这真的没有关系，OpenSSH和其他计算机都可以使用这种随机数生成器。就我而言，我将相同的密钥重用于许多东西，因此不太希望DSA具有更快的生成速度。此外，也许RSA实际上是NIST和NSA的独立实体，但我们知道DSA是由NIST创建的。这是一个很大的机会。可以看出，除非有人对您提出了一些要求，但仍然相信更大的钥匙可以保护您，这确实无关紧要。整个过程在很大程度上只是一个试图闯入的人的烦恼。

#7 楼

RSA和DSA是两种完全不同的算法。 RSA密钥最多可以增加4096位，其中DSA必须恰好是1024位（尽管OpenSSL允许更多）。根据Bruce Schneier的说法，“具有相同长度密钥的DSA和RSA破解难度几乎相同”。

#8 楼

ECDSA的问题不是很多后门。 Bernstein / Lange特别提到曲线加密分析不会攻击特定曲线，而是攻击曲线的类别（请参见幻灯片6）。

ECDSA的问题在于NIST曲线难以正确实现（即恒定时间）并通过所有正确的验证）与Curve25519进行比较。 OpenSSL具有固定时间的P256实现，因此在这方面OpenSSH是安全的。

如果您仍然担心NIST曲线，则OpenSSH最近添加了对Ed25519方案的支持