[devel] ssh-ключ: dsa или rsa

[Victor B. Wagner]

On 2009.05.19 at 13:40:09 +0700, Mikhail Gusarov wrote:

> 
> Twas brillig at 08:59:19 19.05.2009 UTC+04 when lav на altlinux.ru did gyre and gimble:
> 
>  VL> Добрый день!  А почему мы вдруг вместо dsa-ключа стали
>  VL> рекомендовать делать rsa?
> 
> DSA1024 ограничивает размер криптохэша 160 битами, поэтому при его
> применении не получится сменить SHA-1 на что-то другое.

Ну и что? В нашем случае можно вообще MD5 спокойно пользоваться - не
финансовые документы подписываем.

А для SHA-1 пока никто ни с каким кластером не продемонстрировал даже
такой атаки, которая продемонстрирована для MD5 - одновременной 
генерации двух документов дающих одинаковую хэш-сумму.

То есть для MD5  имеется атака на неотрекаемость подписи, а не на то, что она
аутентифицирует отправителя. А для SHA-1 уже года два про новые
результаты в этом направлении ничего не слышно.

Если еще учесть формат данных, подписываемых в процессе разработки
дистрибутива, атаки посредством коллизии можно не опасаться совсем.

В то время как работы по факторизации ведутся весьма активно.
Лично я полагаю, что RSA-2048 взломают быстрее, чем научатся эффективно
подделывать SHA-1, тем более под такими форматами как plain text и rpm.
Я бы не стал зарекаться, что и RSA-4096 переживет SHA-1.

Это, естественно, все касется GPG подписи, а не SSH. SSH или TLS взломать
через атаку на хэш еще труднее. А вот атака на долговременную 
ключевую пару от протокола не зависит.


> Upstream GnuPG уже сменил тип ключа по умолчанию на RSA.

Нет бы ECDSA поддержкать. Там размер хэша определяется свойствами
используемой эллиптической кривой, и кривых больше 256 бит
стандартизировано полно.