ECC作為SSL/TLS證書加密演算法的優勢
原文閱讀:ECC作為SSL/TLS證書加密演算法的優勢
相比RSA來說,ECC(橢圓曲線加密演算法)具有更輕、更快、更優秀,通常ECC拿上桌面討論總顯得高深莫測,或者是錯誤地認為ECC在瀏覽器、操作系統上的兼容性,所以大多數敬而遠之,所以市面上大多SSL/TLS證書都採用的是RSA方式加密。
在《數字簽名演算法介紹和區別》文中我們對各類數字簽名演算法有了較豐富的介紹,那麼我們來看看真正的ECC的技術理論和兼容性是怎樣的!
1. 所有最新操作系統、現代瀏覽器都支持ECC
SSL/TLS在傳統觀念上仍然存在較多的誤區,例如我們在《關於HTTPS與SSL證書八大誤區》中提到的八大誤區,在這裡我們先來看看ECC的兼容性情況是怎樣的!
1.1 ECC在主流操作系統中兼容情況
操作系統最低版本要求
1.2 ECC在瀏覽器中的兼容性情況
瀏覽器最低版本要求
但是像Windows XP這樣的古老級操作系統對ECC的支持度顯然是無法兼顧了,不過真實情況也不是那麼令人擔憂,畢竟Windows XP的用戶保有量已經下降到幾乎可以忽略不計了。
2. 安全性永遠大於易操作性
RSA終結的時間即將被提上日程,以易操作性為由繼續使用老的系統不是一個明智的舉措,ECC具有RSA欠缺的三大優勢:
- ECC密鑰更短,意味著ECC將佔用更少的資源卻有更高的性能;
- ECC更易擴展,隨著RSA密鑰更長只會讓SSL/TLS面臨更多的麻煩;
- ECC並不太容易受到量子計算機的安全威脅;
粗劣地介紹了ECC的三大優勢後,我們再看看其詳細介紹。
3. 橢圓曲線密碼學
橢圓曲線密碼學是一種加密方法,是滿足特定數學等式的點的集合,橢圓曲線是一個二元方程,其中一個二階變數,一個三階變數,基本公式是:y2 = x3 + ax + b,例如下圖是預設的一個橢圓曲線,不好理解沒關係,我們繼續看
3.1 在已知的橢圓曲線上繪製A、B兩點
在x軸方向的曲線繪製A、B兩點,這兩點可以理解成私鑰創建者創建所得。
3.2 將A、B兩點連接一條延長的直線
在坐標系中連接A、B兩點繪製一條延長的AB直線,直到直線的某一端與x軸方向的橢圓曲線相交的下一個點(下圖中第一象限),並以x軸為對稱軸延著y軸繪製直線與橢圓曲線相交得到下一個點C(下圖中第四象限)。
3.3 將A點和C點連接一條AC的直線
此時我們將A點和C點相連的直線AC與橢圓曲線相交得到的下一個點,並此點以x軸為對稱軸延著y軸繪製直線與橢圓曲線相交得到了點D。
3.4 打點總結
以上我們稱為打點,事實證明如果你有兩個點,一個是起點,一個是打點n次後得到的終點,在你只知道起點和終點,想找出n的值是很困難的,而基於橢圓曲線離散點需要規定在有限域上,所以橢圓曲線符合密碼學的標準,具體基於橢圓曲線的專業知識,請參考以下文章:
- 密碼學中的RSA演算法和橢圓曲線演算法的加密過程
- 橢圓曲線密碼學簡介
4. ECC密鑰長度更短
RSA密鑰目前在大多CA中都採用行業標準的2,048位密鑰,由於體量和計算的緣故,RSA加密所需的資源會更多,因此結論是RSA的密鑰大小與其安全性並不相稱。 隨著密鑰越來越大,整體並沒有同樣效率上的改善。
雖然ECC密鑰長度更短,但ECC密鑰更難破解,目前已知ECC與RSA長度對比如下:
ECC密鑰長度RSA密鑰長度
所以美國國家安全局(NSA)要求所有最高機密文件都使用384位ECC密鑰加密,相當於一個7,680位的RSA密鑰加密,所以看起來RSA處於劣勢。
5. ECC比RSA更好
正如前方提到的,就所需資源而言,RSA比ECC需要耗費更多的資源,解密同時也需要更多的版圖, 隨著現代加密技術面臨的威脅不斷增長,隨之而來的RSA密鑰繼續變得越來越大,需要加解密碼的成本也越來越高。
與此同時,RSA方式在SSL/TLS握手時需要更多的網路延時,這也是大家討論的詬病之一,所以總結得出ECC需要使用的網路資源、硬體資源更少。
6. ECC能夠對抗量子解密
近年來量子計算機技術屢被提起,至於量子數學的專業性本文無法在這裡詳細闡述,就目前而言,ECC相比現有的加密技術,ECC有更小的密鑰和完美的前向保護性,以及其複雜的演算法能夠保證對抗量子解密
7. ECC途經簡單,價格不受影響
ECC加密演算法非常簡單,目前已知有CA廠商Sectigo (原名Comodo)和DigiCert/Symantec證書支持ECC加密演算法的證書籤發,證書的價格並不受加密演算法的影響,你只要在配置證書前提供由ECC加密演算法創建的CSR證書請求文件,並選擇ECC加密演算法。
- 證書的價格並不受加密演算法的影響
- 關於如何創建ECC密鑰,參考 開始使用ECC證書部署HTTPS
參考文章:
- https://blog.csdn.net/taifei/article/details/73277247
- https://zhuanlan.zhihu.com/p/26029199(鏈接為轉載,原作者信息出處未知)
更多資訊請關注infinisign.com 官網,關注同名微信公眾號獲取更多優惠
推薦閱讀:
