ssh-key was ist sicherer RSA oder DSA Schlüssel

[robert1962]

Hallo!

Habe meinen Server mit SSH-Key versehen für Login. Frage mich aber was ich sicherer? RSA oder DSA?

Kann mir da jemand was zu sagen?

Danke schon mal im voraus.

Gruß

Robert

[suntzu]

Egal.

[captaincrunch]

Genau diese Frage kam hier vor geraumer Zeit schon einmal auf. Ich hatte damals mal was dazu rausgesucht: http://www.rootforum.org/forum/viewtopi ... ht=rsa+dsa

[robert1962]

Super hatte ich wohl übersehen, ehrlich!

Habe gestern hier zu dem Thema schon gesucht und auch gegooglt.

Aber noch eine Frage habe ich:

Ist man an eine bestimmte Schlüssellänge gebunden?
Könnte man z.B. Schlüssellänge 4096 auch verwenden oder geht nur bis 2048?

Gruß

Robert

[captaincrunch]

Gebunden bist du definitiv nicht an die Schlüssellänge. Wieviel Bit der Schlüssel lang sein kann, hängt aber zum gröten Teil von der eingesetzten SSH-Version ab. 2048 sollten aber bislang noch voll und ganz ausreichen.

[andreask2]

Genau diese Frage kam hier vor geraumer Zeit schon einmal auf. Ich hatte damals mal was dazu rausgesucht: http://www.rootforum.org/forum/viewtopi ... ht=rsa+dsa

Interessanter Thread, hatte ich gar nicht mitbekommen! Hatte das in den Putty FAQ auch schon gelesen. In den FAQ steht heute:

A.8.3 How come PuTTY now supports DSA, when the website used to say how insecure it was?
DSA has a major weakness if badly implemented: it relies on a random number generator to far too great an extent. If the random number generator produces a number an attacker can predict, the DSA private key is exposed - meaning that the attacker can log in as you on all systems that accept that key.

The PuTTY policy changed because the developers were informed of ways to implement DSA which do not suffer nearly as badly from this weakness, and indeed which don't need to rely on random numbers at all. For this reason we now believe PuTTY's DSA implementation is probably OK. However, if you have the choice, we still recommend you use RSA instead.

Hängt also nicht mehr von einem externen Zufallsgenerator ab - womit das im von Dir verlinkten Thread beschriebene Problem ja eigentlich gelöst sein sollte.

Aber wieso dann immer noch diese Empfehlung RSA zu verwenden?

Grüße
Andreas

[andreask2]

Da mich das Thema sehr interessiert, habe ich da mal ein bisschen nachgelesen. Zu den "RSA vs. DSA" Links von CC: 2 davon gehen nicht mehr, und aus dem 3. kann ich nicht wirklich eine besondere Empfehlung für DSA herauslesen.

Mit der Zeit habe ich einige Argumente für und gegen DSA gefunden:

• - RSA ist patentiert (ist aber inzwischen abgelaufen)
  
  - DSA darf aus USA exportiert werden, weil es nur zum Signieren, nicht zum Verschlüssen verwendet werden kann
  
  - es ist wohl kryptografisch ungünstiger wenn man denselben Algorithmus/Schlüssel für Signatur und Verschlüsselung verwendet, was bei RSA möglich ist, bei DSA wie gesagt ausgeschlossen (allerdings wird bei SSH aber weder DSA noch RSA für die Verschlüsselung verwendet)
  
  - Bei der Implementierung von DSA kann man wohl viele Fehler machen, die die Sicherheit des Verfahrens stark gefärden, dem entsprechend gibt es angeblich auch viele problematische DSA Implementierungen (keine Ahnung warum ich das von RSA nie gelesen habe!)
  
  - DSA hängt wohl doch sehr von guten Zufallszahlen ab, die man unter Windows wohl nicht bekommt. Allerdings verwendet man bei Putty doch Mausbewegungen um Zufallszahlen zu erzeugen, das sollte doch besser sein als jeder automatische Zufallsgenerator, oder?
  
  - bisher wurde zu einer Zeit ein 512-bit RSA und ein 283-bit DH (DSS/DSA) Schlüssel gebrochen (diese Infos ist vermutlich veraltet)
  
  - bei DSA werden Signaturen schneller erzeugt als verifiziert, bei RSA ist es umgelehrt

Im Putty Manual steht noch:

The PuTTY developers strongly recommend you use RSA. DSA has an intrinsic weakness which makes it very easy to create a signature which contains enough information to give away the private key! This would allow an attacker to pretend to be you for any number of future sessions. PuTTY's implementation has taken very careful precautions to avoid this weakness, but we cannot be 100% certain we have managed it, and if you have the choice we strongly recommend using RSA keys instead.

Noch ein Bruce Schneier Zitat aus comp.os.linux.security:

According to Bruce Schneier both DSA and RSA with the same length keys are just about identical in difficulty to crack.

nochmal 2 Links:

PGP DH vs. RSA FAQ: http://www.scramdisk.clara.net/pgpfaq.html#SubRSADH
RSA-FAQ - What are DSA and DSS? http://www.rsasecurity.com/rsalabs/node.asp?id=2239

Naja, ich kann da nicht wirklich einen "Gewinner" ausmachen. Für mich heißt das nach meinem aktuellen Kenntnisstand folgendes:

• - 1024-bit Schlüssel müssten bei beiden Verfahren ungefähr gleich sicher sein (zumindest habe ich nichts glaubwürdiges gefunden, was gegenteiliges behauptet) -> mit 2048-bit bin ich wohl auf jeden Fall auf der sicheren Seite.
  
  - Die Entwickler der Software die ich verwende um Daten zu signieren (putty) empfehlen RSA, weil sie sich selbst nicht sicher sind, ob ihre Implementierung wegen des Betriebssystems das ich verwende (Windows) genau so sicher ist wie RSA -> also nehme ich doch RSA!

Die Tatsache, dass man hier eigentlich keine Empfehlung liest wie "verwende DSA, weil ein indisches Forscherteam einen 1024-bit RSA Schlüssel gebrochen hätte wenn sie 100 Jahre lang alle Rechner dieser Welt rechnen lassen könnten..." - so wie es bei MD5... der Fall ist, gehe ich jetzt einfach mal davon aus, dass beide Verfahren im Augenblick gut zu gebrauchen sind.

Und wenn mir die Putty-Entwickler dann dringend zu RSA raten ("we strongly recommend"), dann nehme ich das auch ohne schlechtes Gewissen ;-)

[suntzu]

- bisher wurde zu einer Zeit ein 512-bit RSA und ein 283-bit DH (DSS/DSA) Schlüssel gebrochen (diese Infos ist vermutlich veraltet)

Es sind 576 bit bei RSA ;-) Ã?brigens geknackt vom BSI: http://www.rsasecurity.com/rsalabs/node.asp?id=2096

Aber eigentlich sollte man das nicht zu sehr als Bedrohung sehen, da nur genau der eine Schlüssel mit dieser Länge geknackt wurde. Das ist also ähnlich Panikmache wie bei md5...

Nimm einfach einen Schlüssel mit 4000 Bits, dann sind die größten Probleme die physikalische Sicherheit des Schlüssels und ein schlecht gewähltes Passwort.

Gruß,
Dominik,
auf Verschlüsselungsverfahren die auf hyperelliptischen Kurven basieren wartend ;-)

[andreask2]

Aber eigentlich sollte man das nicht zu sehr als Bedrohung sehen, da nur genau der eine Schlüssel mit dieser Länge geknackt wurde.

"sogar" 663 bit: http://www.rsasecurity.com/rsalabs/node.asp?id=2879

The sieving effort is estimated to have taken the equivalent of 55 years on a single 2.2 GHz Opteron CPU. The matrix step reportedly took about 3 months on a cluster of 80 2.2 GHz Opterons. The sieving began in late 2003 and the matrix step was completed in May 2005.

Das ist also ähnlich Panikmache wie bei md5...

Ich wollte ja keine Panik machen, sondern mal ein paar Fakten sammeln ;-)