Am Sonntag 08 August 2010 schrieb Sven Hartge: > Martin Steigerwald <Martin@lichtvoll.de> wrote: > > Am Sonntag 08 August 2010 schrieb Sven Hartge: > >> Martin Steigerwald <Martin@lichtvoll.de> wrote: > >>> Ich verwende 4096-Bit-RSA-Schlüssel. Auf der Arbeit gilt die Regel > >>> sogar mindestens 8192-Bit zu verwenden, was ich derzeit noch für > >>> Overkill halte. > >> > >> Ist nur doof, wenn man Geräte hat, auf die man sich mittels Key > >> einloggen will, die nur maximal 2048bit-RSA-Keys erlauben. > > > > Als da wären? Ich hatte das Problem noch nicht. > > 3com-Switche und Router z.B., selbst Geräte der größeren Klassen wie > 7700E oder 9500E. > Cisco kann ich erst im Laufe der Woche testen. > > Wobei das natürlich ein Problem der Firmware ist und sich durch ein > Update seitens des Herstellers beheben läßt. > > > 2048-Bit ist aber denke ich auch noch reichlich ;). > > Das sehe ich ebenso. Wo ist der Gewinn an 8192 Bit gegenüber 2048 Bit > in Realität? Ausser, dass die nötige Rechendauer stark steigt? Wie geschrieben halte ich 8192 Bit auch für Overkill, auch wenn wir bislang keine Probleme damit hatten. Obwohl wir auch mit Cisco-Switches zu tun haben. Das ist aber nicht mein Bereich, daher kann ich dazu nichts weiter sagen. Der Gewinn? Auch ein Cluster aus 16384 Dual-Hexacore-Nehalem-Systemen braucht noch richtig lange, um den Schlüssel zu knacken. ;) Im Ernst: Keine Ahnung. Ich wählte 4096 Bit, da dies meinen groben Recherchen zu der Zeit eine Stufe über den empfohlenen 1024-2048 Bit lag und ich so das Gefühl hatte, auf Nummer sicher zu gehen. Denn tatsächlich fehlt mir das kryptographische Verständnis, um wirklich beurteilen zu können, ab welcher Bitlänge ein RSA-Schlüssel sicher ist. Und da dachte ich, ich leg lieber noch einen drauf. Ein Mitarbeiter wählte initial einen 16384 Bit-Schlüssel, der selbst auf Pentium 4-Workstations mit 3 GHz zu einem spürbar verzögertem Verbindungsaufbau führte. Mein ASUS WL-500g Premium DSL-Router mit Debian Lenny kommt mir dem 4096 Bit-Schlüssel klar ;). -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.