잘 알려진 CA가 Elliptic Curve 인증서를 발급합니까?

배경

Comodo에 타원 곡선 루트 ( "COMODO ECC 인증 기관")가 있지만 웹 사이트에 EC 인증서에 대한 언급이 없습니다.

Certicom에는 다른 발급자가 EC 인증서를 제공하지 못하게하는 지적 재산권이 있습니까? 널리 사용되는 브라우저가 ECC를 지원하지 않습니까? ECC는 웹 서버 인증과 같은 전통적인 PKI 사용에 적합하지 않습니까? 아니면 수요가 없습니까?

NSA Suite B 권장 사항으로 인해 타원 곡선으로 전환하는 데 관심이 있습니다. 그러나 많은 응용 프로그램에는 실용적이지 않습니다.

바운티 기준

현상금을 청구하려면 답변에서 제공하는 ECC 인증서 옵션, 가격 및 구매 방법을 설명하는 잘 알려진 CA 웹 사이트의 페이지에 대한 링크를 제공해야합니다. 이와 관련하여 "잘 알려진"이란 Firefox 3.5 및 IE 8에 기본적으로 올바른 루트 인증서가 포함되어야 함을 의미합니다. 여러 개의 적격 응답이 제공되는 경우 (하나는 희망 할 수 있습니다!) 유비쿼터스 CA에서 가장 저렴한 인증서를 가진 인증서 현상금을 이길 것입니다. 그래도 관계가 없어지지 않으면 (아직 희망합니다!) 재량에 따라 답을 선택해야합니다.

누군가가 항상 현상금의 절반 이상을 청구한다는 것을 기억하십시오. 모든 답변이없는 경우에도 기회를주십시오.

코모도는 PositiveSSL 오퍼링의 일부로 현재 발행하고 있습니다. 나는 그들이 그것을 너무 잘 광고한다고 말할 수는 없지만 수학에 의한 살아있는 증거는 존재합니다

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

이에 대해 좀 더 깊이 파고 싶었으므로 ECC CA를 담당하는 Comodo 직원들에게 연락했습니다. 약간의 앞뒤로, 그들은 코모도에게 ECC 인증서를 발급하기 전에 Certicom / RIM의 라이센스가 필요하며 현재 라이센스 계약을 체결하고 있다고 조언했다. 그들은 토론을 마무리하기 위해 ETA를 제공하지 않았으므로 누가 인증서를 실제로 구입할 수 있는지 알고 있습니다.

빠른 업데이트로 오늘 Cloudflare는 Comodo가 서명하고 ECC를 사용하여 블로그에 대한 새 인증서를 배포했습니다. 일반 대중을위한 ECC가 곧 제공 될 것 같습니다.

https://blog.cloudflare.com/

Verisign (현재 시만텍)은 Secure Site Pro 인증 라인에서 ECC를 제공합니다.

내가 유용하다고 생각한 위탁 에서이 링크를 찾았습니다. http://www.entrust.net/ecc-certs/index.htm

기본적으로 NSA Suite B는 전 세계적으로 (루트 수준에서) 신뢰되지 않으며 현재 (2012 년 10 월 기준) CA가 표준을 충족하는 SSL 인증서를 제공하지 않습니다. 자신의 인증서에 서명 할 수 있지만 최신 브라우저는 사용자에게 매우 실망스러운 경고를 표시합니다. 일반적으로 NSA Suite B 인증서는 보안 서버에 직접 연결되는 애플리케이션에 통합됩니다. ECC의 브라우저에는 많은 지원이 있습니다. ECC는 기본적으로 Chrome v22 +에서만 지원되는 TLS 1.1의 일부입니다. [ http://en.wikipedia.org/wiki/Transport_Layer_Security#Browser_implementations ]

Certicom이 MS2008 인증 기관이 Suite B를 제공하는 타원 곡선의 사용을 막고 있다고 생각하지 않습니다. 따라서 7의 최신 버전의 Windows 클라이언트는 그 사용을 지원합니다. 가서 살펴볼 것입니다.이를 지원 해야하는 MS 암호화 하위 시스템 (CryptoAPI)이 될 것이며 플러그인 CSP 아키텍처가있어 쉽게 지원할 수 있습니다.

다음은 주제에 대한 위탁 문서에서 가져온 것입니다.

모든 주요 CA 소프트웨어 제품은 인증서 및 CRL 서명 및 최종 사용자 공개 키 모두에 대해 ECDSA를 지원합니다. 따라서 인증 및 디지털 서명 만 필요한 응용 프로그램의 경우 적합한 CA 제품을 소싱하는 것이 어렵지 않아야합니다. ECC 기반 키 계약의 속도가 느리면 암호화가 필요한 애플리케이션에 대한 불확실성이 추가됩니다. 그러나 주요 CA 소프트웨어 공급 업체는 모두 최종 사용자 인증서에서 ECDH 키를 지원할 계획이 있습니다. 따라서이 영역에서의 계획은 약간의 위험 만 수반합니다. 반면에 구현은 제품 운송에서 이러한 계획의 실현을 기다려야합니다.

ECC는 RSA보다 계산 능력이 덜 필요하므로 스마트 카드와 같은 내장 시스템과 무선 라우터와 같은 프로세서 성능이 낮은 장치에 유용합니다. 웹 서버는 TLS 키 교환 작업을 지원하기 위해 적은 양의 보안 트래픽을 지원할 수있는 명백한 이점을 제공하기 위해 웹 서버에서 더 적은 처리를 요구하므로 웹 서버에 유용합니다. 이러한 요소들이 수요를 이끌고 전 세계의 정부 부문에서 NIST에 세심한주의를 기울이는 수요가 많을 것이라고 생각합니다. 이는 공급 업체가이 부문에 판매하려고 할 때 기술을 추진하는 데 도움이됩니다.

마크 서튼
http://www.blacktipconsulting.com