Certifikatprofiler behöver revideras

För snart ett år sedan publicerade vi en artikel med rekommendationen att se över sina certifikat och säkerställa att de möter de föränderliga säkerhetskraven kring krypto. Den senaste tiden har våra uppfattningar om kryptografisk säkerhet reviderats efter att information har läckt om NSAs ansträngningar inom området. Behovet av revision förstärks även av akademiska framgångar kring hur framförallt asymmetrisk kryptering kan attackeras.

För ett år sedan konstaterade vi att rekommendationerna från standardiseringsorganisationen NIST var att RSA som kryptografisk algoritm inte längre bör användas med så korta nycklar som 1024 bitar. RSA 1024 bitar bedömdes då med den tidens kunskap motsvarara 80 bitars symmetrisk säkerhet och
RSA 2048 ha 112 bitars symmetrisk säkerhet (bedömning av NIST år 2011 i publikationen SP 800-131A). 112 bitars säkerhet är den svagaste kryptostyrkan som anses kunna säkerställa att hemlig information förblir hemlig några år framöver och t.ex. alla amerikanska myndigheter följer dessa rekommendationer slaviskt.

Under våren 2013 har analys av de grundläggande kryptografiska problemen som många asymmetriska kryptografiska algoritmer bygger på gjort stora publicerade ”framsteg” och grundproblemen är inte längre lika svårlösta. Man har alltså lyckats lösa grundproblemen diskret logaritmproblemet och därmed även primtalsfaktorisering på betydligt kortare tid än vad som var tidigare känt. Det summerades bra på sommarens största hackerevent Black Hat i Las Vegas.

Upptäckterna och den nya kunskapen om NSAs forskning har sannolikt påverkan på den beräknade styrkan för olika asymmetriska algoritmer. NIST bör uppdatera sina rekommendationer kring olika algoritmer under hösten. Följden av allt detta är att algoritmer som tidigare bedömdes ha 112 bitars säkerhet kan komma att revideras till en svagare säkerhetnivå och därmed inte längre anses ge fullgott skydd. Det leder i sin tur att längre krypteringsnycklar behövs, vilket i sin tur kan ha märkbar prestandapåverkan och frustration hos användare. Ett annat problem med längre nycklar är att program- och hårdvaror saknar stöd för detta. I vissa fall saknar även standarder stöd för de nyckellängder som kan komma att behövas. Ett exempel på det är RSA 2048 som bygger på primtalfaktoriseringsproblemet. Om dess säkerhetsnivå revideras ned efter årets forskningsframgångar från 112 bitar är den för svag för att skydda din information tillräckligt länge eftersom säkerhetskravet på krypto är just 112 bitars säkerhet. Det kan mitigeras genom att använda RSA 3072 eller kanske tom RSA 4096 för att fullgott skydd. RSA 3072 och RSA 4096 är dock väldigt tidskrävande och saknar stöd i många applikationer.

En migrering av kryptot kan alltså bli aktuellt och en sådan migrering tar mycket lång tid. Därför bör man redan nu vara proaktiv och ta in spetskompetens för att påbörja inventering och framtagande av en strategi kring sitt PKI.

Vi verkar i föränderliga tider för tillfället, där Snowden’s avslöjanden skriver om vår uppfattning av vad som är säkert och pålitligt. Framförallt så tvingas vi att ifrågasätta vad vill skydda våra värden mot; NSA eller alla andra? Till vilken kostnad? Alla asymmetriska algoritmer innebär alltid en risk, eftersom de endast i praktiken är svårknäckta. Det görs alltid forskningsframsteg kring den praktiska kryptoanalysen som överraskar oss men de största riskerna ligger alltjämt i dåliga implementationer och det är ingen nyhet.

Den kryptografiska algoritmen ECC (Elliptic Curve Cryptography) är ganska ny ur kryptografisk synvinkel och togs fram först 1985 och följdes av en rekommendation av NIST i Suite B 2005. Det är den enda beprövade och spridda asymmetriska algoritmen idag¨som om rätt konfigurerad inte har en känd försvagning och samtidigt har hög prestanda. Den är ung relativt RSA och därför är det för tillfället sannolikare att kryptoforskningen gör framsteg kring att försvaga ECC snarare än RSA. Baerat
på den informationen som är känd idag och av prestandaskäl är ECC ändå vår rekommendation för ett hållbart PKI framöver.

En migreringsplan av ett PKI är individuell för varje organisation. En enkel och generaliserad migreringstrategi av organisationens PKI är att från nu kravställa på ny programvara och hårdvara att klara av ECC och därefter att endast skapa ECC-certifikat. Specifikt bör man välja att
använda sig av minst ECC 256, vilket ger 128 bitars säkerhet och därför bedöms skydda dina hemligheter förbi år 2030. Vill man även skydda sig mot NSA bör man sannolikt använda 256 bitars säkerhet och tills vidare undvika att använda de ECC-konstanter som NIST/NSA har tagit fram, allra helst helt undvika asymmetriska krypton helt och hållet.

// Jesper Andersson
Informationssäkerhetskonsult på SAFESIDE SOLUTIONS AB