Qual comprimento de chave RSA devo usar para meus certificados SSL?

Estou no processo de criação de um CSR e me pergunto qual é, sem dúvida, o melhor comprimento para minha chave RSA.

Claro, 384 é provavelmente muito fraco e 16384 é provavelmente muito lento.

Existe um consenso sobre o comprimento da chave que deve ser usado, dependendo do tempo de vida do certificado?

Edit: Como a maioria das pessoas, quero que minha chave seja razoavelmente forte. Não estou preocupado que a NSA possa quebrar minha chave em 2019. Só quero saber qual é a prática recomendada quando se planeja fazer negócios normais (por exemplo, um site de comércio eletrônico)

A partir de 2020, as chaves RSA devem ter 2.048 bits.

1024 bits

• Os certificados RSA de 1024 bits são obsoletos e não são aceitos pelos navegadores.
• O Firefox parou de aceitar certificados RSA de 1024 bits em 2014.
• As autoridades de certificação pararam de entregar certificados RSA de 1024 bits em 2014 ou antes. Consulte o aviso da GlobalSign ou da Comodo .
• Chaves de 1024 bits foram descontinuadas porque podiam ser quebradas em um pequeno datacenter (milhares de CPU ou centenas de GPU, talvez em alguns meses). Pode parecer muito, mas estava ao alcance de qualquer grande organização ou governo.

2048 bits

• Certificados RSA de 2.048 bits são atualmente a norma aceita em uso.
• Linha de base padrão fornecida pela CA e usada pelo software.
• Eventualmente será quebrado também. Não sei quando, mas pode levar décadas.
• Dobrar o tamanho leva muitas ordens de magnitude a mais poder de computação para quebrar. Veja a pergunta de quão mais forte é o RSA 2048 em comparação com o 1024 .

4096 bits

• Certificados RSA de 4.096 bits são a próxima etapa
• Amplamente disponível e com suporte. Todas as principais CA podem fornecer RSA de 2048 e 4096 bits, incluindo vamos criptografar .
• O custo computacional não é linear com o tamanho da chave. 4096 não é duas vezes mais lento que 2048, talvez seja 10 vezes mais lento para processar. Não atualize cegamente os certificados para 4096 bits sem considerar o impacto no desempenho .
• A "web" permanece em grande parte nos certificados de 2048 bits porque não pode suportar o custo de hardware de 4096 bits. Considere grandes atores como Google, CloudFlare, NetFlix com imenso tráfego e pegada de hardware.

3072 bits

• 3072 bits não é uma coisa. Vá direto para 4096 bits.
• É perfeitamente possível fazer criptografia de 3072 bits, só que nenhum software realmente a implementa, oferece suporte e anuncia oficialmente.
• Historicamente, houve uma tentativa por volta de 2010-2015 de lançar 3.072 para casos de uso em que o custo computacional extra de 4.096 não é ideal. Ele desapareceu, mas ainda existem alguns artigos antigos divulgando os méritos do (mais rápido) 3072.

Extra

• RSA foi descrito publicamente pela primeira vez em 1977 e ainda é forte quase 50 anos depois. Basta aumentar o número de bits para acompanhar os computadores mais rápidos.
• Existe outro método para criptografia de chave pública baseado em curvas elípticas, ver ECDSA (1992).
• Existe uma grande desconexão entre a capacidade de um usuário e de um invasor. Um servidor web ou um cliente móvel tem uma CPU (de baixo consumo). Um invasor pode ter um datacenter inteiro; para referência, um datacenter AWS recém-construído hospeda cerca de 60.000 servidores.
• É incrível que um único dispositivo móvel possa calcular alguns cálculos matemáticos em alguns segundos ... que milhões de computadores não poderiam sonhar em adivinhar na vida.

Como muitos clientes exigem conformidade com os padrões criptográficos NIST, eu uso a orientação na Publicação Especial NIST 800‑57, Recomendação para Gerenciamento de Chave Parte 1, §5.6. A maioria de nossos aplicativos é adequada para 112 "bits" de segurança, de modo que corresponde ao DES triplo (ou um pequeno aumento de AES de 128 bits) para cifras simétricas e uma chave de 2048 bits para RSA. Consulte a Tabela 2 para obter uma equivalência aproximada.

Válido ou não, poder encaminhá-los para uma publicação do NIST ajuda os clientes a se sentirem melhor com relação à segurança (se eles se incomodarem em perguntar).

As autoridades de certificação não assinarão csrs com menos de 2048 bits, portanto, você deve gerar seu csr para ter 2048 bits.

Em agosto próximo, a Microsoft implantará um patch para o Server 2003/2008, Win7 ect .. que exigirá o uso de uma chave RSA de no mínimo 1024 bits. Portanto, você também pode começar a fazer disso seu padrão "mínimo".

Para certificados SSL usados ​​em sites, este texto do site Thawte.com (como em 2014-07-22) é importante observar:

Os padrões da indústria definidos pelo Fórum da Autoridade de Certificação / Navegador (CA / B) exigem que os certificados emitidos após 1 de janeiro de 2014 DEVEM ter pelo menos 2048 bits de comprimento de chave.

Eu precisava criar vários novos certificados SSL e não fiquei satisfeito com as respostas acima porque elas pareciam vagas ou desatualizadas, então fiz algumas pesquisas. Resumindo, a resposta selecionada está correta, use "chaves de 2048 bits ... mais não faz sentido" .

Aumentar o comprimento do bit para 4096 adiciona uma carga potencialmente significativa ao seu servidor (dependendo da carga existente) enquanto oferece basicamente um atualização de segurança insignificante

Se você estiver em uma situação em que precisa de mais de uma chave de 2048 bits, não precisa de um comprimento de bits maior, você precisa de um novo algoritmo

Acho que 4096 é adequado para RSA

Verifique este link

O fim da assinatura SHA-1 não é novidade, mas o Google acelerou o processo do cromo. Nas próximas semanas, você deve verificar seus certificados SSL.

Isso pode ser útil

ENISA recomenda 15360 bits. Dê uma olhada no PDF (página 35)

http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/algorithms-key-sizes-and-parameters-report/at_download/fullReport