Sammenligning av ECDSA vs RSA

Introduksjon

I det siste har det vært mange diskusjoner om fordeler og ulemper ved RSA[01]
og ECDSA[02], i kryptomiljøet. For de uinnvidde er de to av
de mest brukte algoritmer for digital signatur, men til og med for de mer tekniske
Kyndig, kan det være ganske vanskelig å følge med på fakta. Denne artikkelen er en
forsøk på å forenkle sammenligningen av de to algoritmene. Skjønt, dette er det ikke
et dypt teknisk essay, den mer utålmodige leseren kan sjekke slutten på
artikkel for en rask TL; DR-tabell med sammendraget av diskusjonen.

Trenger du et sertifikat? SSL.com har dekket deg. Sammenlign alternativer her å finne det riktige valget for deg, fra S/MIME og kodesigneringssertifikater og mer.

BESTILL NÅ

ECDSA mot RSA

ECDSA og RSA er algoritmer som brukes av offentlig nøkkel kryptering[03] systemer,
å gi en mekanisme for autentisering. Kryptografi av offentlig nøkkel er
vitenskap om å designe kryptografiske systemer som bruker par nøkler: a offentlig
nøkkel
(derav navnet) som kan distribueres fritt til hvem som helst, sammen med en
tilsvarende privat nøkkel, som bare er kjent for eieren. Godkjenning
refererer til prosessen med å verifisere at en melding, signert med en privat nøkkel, var
opprettet av innehaveren av en spesifikk privat nøkkel. Algoritmer brukt til
autentisering er samlet kjent algoritmer for digital signatur [04].

Slike algoritmer er avhengige av komplekse matematiske problemer som er relativt enkle
å beregne en måte, selv om det er ganske upraktisk å snu. Dette betyr at for
en angriper for å forfalske en digital signatur, uten kunnskap om det private
nøkkel, må de løse intractable matematiske problemer, for eksempel heltall
faktorisering, som det ikke er kjent effektive løsninger for [05].

På den kontoen, siden det ikke er effektive løsninger tilgjengelig for
underliggende matematiske problemer, evaluering av kryptografiske algoritmer kan
forekommer bare med hensyn til implementeringsdetaljer i forbindelse med
sikkerhetsnivået de gir. For dette formålet presenterer denne delen a
sammenligning av RSA og ECDSA ved bruk av fem (eller seks) kvantifiserende beregninger. Hver beregning
blir introdusert i sin egen seksjon, sammen med dens betydning for alle som er
prøver å bestemme mellom de to algoritmene.

Adopsjon

RSA har vært bransjestandarden for offentlig nøkkelkryptografi i mange år
nå. Mest SSL /TLS sertifikater ble (og er fortsatt) signert med RSA-nøkler.
Selv om de fleste CA har nå implementert støtte for ECDSA-basert
sertifikater, har denne langvarige adopsjonen bare ført til mange arvsystemer
støtte RSA. Derfor, hvis en leverandør krever bakoverkompatibilitet med gamle
klientprogramvare, blir de tvunget til å bruke sertifikater signert med RSA. Nå for tiden,
De fleste moderne klienter har imidlertid implementert støtte for ECDSA, som vil
fjerner sannsynligvis denne kompatibilitetsbegrensningen i nærmeste fremtid.

Standard løpetid

RSA ble først standardisert for SSL /TLS i 1994 [06], mens ECDSA ble introdusert
i spesifikasjonen av TLS v1.2 i 2008 [07]. Denne aldersforskjellen indikerer a
ulikhet i løpet av standardene som beskriver beste praksis for
hver algoritme. Skjønt, RSA-standarder har blitt grundig undersøkt og
revidert, har ECDSA ikke sett så mye oppmerksomhet. Nylig var talsmann for dette
algoritme av store CAer og dens adopsjon i de fleste moderne SSL /TLS klienter har
resulterte i at mer omfattende forskning ble publisert, men det er fremdeles et
relativt ny ordning. Dette gir rom for uoppdagede designfeil eller
feilaktige implementeringer blir avslørt i fremtiden.

Nøkkelstørrelse til sikkerhetsnivå

Sikkerhetsnivå [08] er en beregning i kryptografi, og refererer til styrken
av en kryptografisk primitiv eller funksjon. Det blir ofte målt i "biter" som
angi antall operasjoner en angriper trenger å utføre for å kompromittere dens
sikkerhet. Denne beregningen kan gi en kvantifiseringsmetode for å sammenligne effektiviteten
av forskjellige kryptosystemer. Det skal understrekes at offentlig nøkkelstørrelse også er det
målt i biter, men det er et helt annet konsept, med henvisning til
fysisk størrelse på nøkkelen.

I denne forbindelse gir en felles RSA 2048-bit offentlig nøkkel et sikkerhetsnivå på
112 biter. ECDSA krever imidlertid bare offentlige nøkler i 224-bit for å skaffe
samme 112-bits sikkerhetsnivå. Denne slående forskjellen i nøkkelstørrelse har to
betydelige implikasjoner. Mindre nøkkelstørrelser krever mindre båndbredde for å sette opp en
SSL /TLS stream, som betyr at ECDSA-sertifikater er ideelle for mobil
applikasjoner. Dessuten kan slike sertifikater lagres i enheter med mye
mer begrensende minnebegrensninger, et faktum som tillater m /TLS stabler å være
implementert i IoT-enheter uten å tildele mange ressurser. publisert
forskning, viser til og med at ECDSA er mer effektiv [09] til å implementere i innebygd
enheter.

Ytelse og tidskompleksitet

Algoritmer er abstrakte oppskrifter som beskriver en metode for å oppnå et visst mål.
I informatikk måles ytelsen deres ved å telle antall
elementære operasjoner som er nødvendige for å nå denne forhåndsbestemte avslutningen
tilstand. Slik beregning kalles tidskompleksitet. Siden forskjellige innspill
størrelser krever forskjellige antall operasjoner, tidskompleksitet er vanligvis
uttrykt som en funksjon av inngangsstørrelse.

Begge algoritmene det gjelder, utfører omtrent samme tidkrevende
matematiske operasjoner, for eksempel divisjoner og multiplikasjoner. Dermed input størrelse
(som i dette tilfellet er størrelsen på nøklene) forblir den mest betydningsfulle
faktor som påvirker deres ytelse. Å sammenligne de to algoritmene, må det være
skillet mellom å signere en melding og bekrefte en signatur. I de fleste
praktiske implementeringer, RSA ser ut til å være betydelig raskere enn ECDSA i
verifisere underskrifter, selv om det går tregere mens du signerer.

Ting blir komplisert for høyere sikkerhetsnivå. For eksempel i det meste
vanlig konfigurasjon av et sikkerhetsnivå på 112 biter, RSA krever 2048-bit
kontra ECDSA som trenger 224-bits nøkler. I det neste vanlige nivået på 128 biter, RSA
krever en 3072-bit nøkkel, mens ECDSA bare 256 bits. Dette resulterer i RSA
ytelsen til å avta dramatisk, mens ECDSA bare er lite påvirket. Som
en konsekvens av dette skaleringsspørsmålet, selv om RSA virker mer utøvende på
For øyeblikket kan den kontinuerlige økningen i sikkerhetskrav meget godt gi
ECDSA de facto-løsningen i fremtiden.

Post-kvantemotstand

Shor algoritme [10] er en kjent algoritme for brudd på RSA-nøkler ved å bruke
kvante datamaskiner. Siden det ikke er noen (offentlige) praktiske implementeringer av a
en slik maskin, er følgende en antagelse om fremtiden til offentlig nøkkel
kryptografi. I øyeblikket av denne skrivingen, den beste implementeringen av Shor's
algoritme kan beseire en 15-biters nøkkel RSA-kryptering. Selv om dette ikke høres ut
vedrørende mer og mer forskning er rettet mot kvanteberegning, RSA
kan være i alvorlige problemer når som helst.

Advokater for ECDSA bør ikke være raske med å feire, for elliptisk
kurve kryptografi er også sårbar [11] til en modifisert versjon av Shor's
algoritme. Følgelig, hvis begge chifferene kan brytes av en kvantecomputer,
den eneste objektive beregningen er kompleksiteten som kreves for å implementere en slik
angripe. I følge offentlig forskning krever RSA 2048-bit nøkler 4098 qubits
(og 5.2 billioner Tofolli-porter) som skal beseires, mens ECDSA 256-bits nøkler
krever bare 2330 qubits (og 126 milliarder Tofolli-porter). Derfor er RSA mer
dyrt å bryte, ved bruk av en teoretisk kvantemaskin.

konklusjonen

Selv om denne sammenligningen på ingen måte er omfattende, er det tydelig at
RSA har med rette fått sin posisjon som den ledende digitale signaturen
algoritme for de fleste sertifikatapplikasjoner. Men siden teknologi alltid er det
fremme på mer uforutsigbare måter, sikkerhetsbevissthet og behov er også
økende. For litt mer enn ti år siden var innebygd enhetssikkerhet
fiksjon og i dag er sikker kommunikasjon et must for alle virkelige verdener
applikasjon. Som et resultat, selv om ECDSA er relativt ung, er det andres
gjett om det vil erstatte RSA som standard for autentisering i SSL /TLS
implementeringer.

Hvis du, leseren, fremdeles ikke kan bestemme hvilken algoritme du skal velge, er det det
løsninger for å støtte både ECDSA og RSA (som en fallback-mekanisme), frem til
kryptosamfunnet nøyer seg med en vinner. Sjekk denne artikkeldelen for en fremtid
hvordan å guide.

TL; DR bord

metrisk RSA ECDSA
Adopsjon ?  
forfall ?  
Nøkkelstørrelse   ?
Ytelse ?  
Skalering   ?
P / Q-motstand ?  

Referanser

Abonner på SSL.coms nyhetsbrev

Ikke gå glipp av nye artikler og oppdateringer fra SSL.com

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.