信息无障碍通道
您的位置:首页>>业界动态

ECC+RSA双证书解决方案

发布时间:2020-05-19  来源:互联网    背景: 无障碍通道

  什么是ECC

  ECC是Elliptic Curves Cryptography的缩写,意为椭圆曲线密码编码学。和RSA算法一样,ECC算法也属于公开密钥算法。最初由Koblitz和Miller两人于1985年提出,其数学基础是利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性。

  ECC算法的数学理论非常深奥和复杂,在工程应用中比较难于实现,但它的单位安全强度相对较高,它的破译或求解难度基本上是指数级的,黑客很难用通常使用的暴力破解的方法来破解。RSA算法的特点之一是数学原理相对简单,在工程应用中比较易于实现,但它的单位安全强度相对较低。因此,ECC算法的可以用较少的计算能力提供比RSA加密算法更高的安全强度,有效地解决了“提高安全强度必须增加密钥长度”的工程实现问题。

  与RSA算法相比,ECC算法拥有突出优势:

  1、更适合于移动互联网: ECC加密算法的密钥长度很短(256位),意味着占用更少的存储空间,更低的CPU开销和占用更少的带宽。随着越来越多的用户使用移动设备来完成各种网上活动,ECC加密算法为移动互联网安全提供更好的客户体验。

  2、更好的安全性:ECC加密算法提供更强的保护,比目前的其他加密算法能更好的防止攻击,使你的网站和基础设施比用传统的加密方法更安全,为移动互联网安全提供更好的保障。

  3、更好的性能: ECC加密算法需要较短的密钥长度来提供更好的安全,例如,256位的ECC密钥加密强度等同于3072位RSA密钥的水平(目前普通使用的RSA密钥长度是2048位)。其结果是你以更低的计算能力代价得到了更高的安全性。经国外有关权威机构测试,在Apache和IIS服务器采用ECC算法,Web服务器响应时间比RSA快十几倍。

  4、更大的IT投资回报:ECC可帮助保护您的基础设施的投资,提供更高的安全性,并快速处理爆炸增长的移动设备的安全连接。 ECC的密钥长度增加速度比其他的加密方法都慢(一般按128位增长,而 RSA则是倍数增长,如:1024 -2048--4096),将延长您现有硬件的使用寿命,让您的投资带来更大的回报。

  ECC加密算法的通用性不断增强

  ECC加密算法自1985年提出,因其工程应用中难度较高,到2005年才在各种操作系统中获得广泛支持,在全球安全市场需求的刺激下,ECC算法将逐步取代RSA算法,成为主流加密算法。目前,全球各大CA都已经陆续开始为用户签发采用ECC加密算法的各种证书.ECC加密算法以后支持所有操作系统、所有浏览器和各种移动终端,主要有:

  Mozilla NSS 3.11以上版本支持

  OpenSSL 1.0以上版本支持

  微软CryptoAPI Vista/Win7/Win8都支持

  BouncyCastle 1.32以上版本支持

  JSSE 6 以上版本支持

  BSAFE 4.0 以上版本支持

  各种版本的IE浏览器、火狐浏览器、谷歌浏览器和苹果浏览器都支持

  安卓系统(2.3以上版本)、苹果IOS(5.0以上版本)、Window Phone(各种版本)都支持

  北京天威诚信电子商务服务有限公司是国家授牌CA认证机构;专业从事数字证书等技术和产品服务,服务于阿里巴巴、百度、腾讯、京东、联想、金山、中行、工行、建行等全行业超95%的大客户,覆盖超10亿网民,拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供优质的本地化服务与技术支持。

  Apache配置方法

  首先将 ecc 证书和 rsa 证书的证书链合并, ecc 证书链在前, rsa在后, cat chain-ecc.crt chain-rsa.crt > chain-ecc-rsa.crt 打开apache安装目录下conf/extra目录中的httpd-ssl.conf(或conf目录中的ssl.conf)文件

  在配置文件中的 …… 之间添加或编辑如下配置项

  SSLProtocol all -SSLv2 -SSLv3

  SSLHonorCipherOrder on

  SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM

  #ECC 将 ecc 证书(不含证书链)和 ecc 证书的密钥文件放在前

  SSLCertificateFile /etc/apache2/SSL2015/ecdsa.cert.crt

  SSLCertificateKeyFile /etc/SSL2015/certs/ecdsa.key

  #RSA 将 rsa 证书(不含证书链)和 rsa 证书的密钥文件放在后

  SSLCertificateFile /etc/apache2/SSL2015/rsa.cert.crt

  SSLCertificateKeyFile /etc/apache2/SSL2015/rsa.cert.key

  #指定 ecc/rsa 合并后的证书链位置

  SSLcertificateChainFile /etc/apache2/SSL2015/chain-ecc-rsa.crt

  如果服务器的 OpenSSL 版本已经为 1.0.2 以及更新的版本,则用以下方法,ecc 和 rsa 证书要包含证书链:

  #ECC 指定 ecc 证书文件位置(证书以及证书链合并为一个文件为 ecdsa.cert.pem )

  SSLCertificateFile /etc/apache2/SSL2015/ecdsa.cert.pem

  SSLCertificateKeyFile /etc/SSL2015/certs/ecdsa.key

  #RSA 指定 rsa 证书文件位置(证书以及证书链合并为一个文件为 rsa.cert.pem )

  SSLCertificateFile /etc/apache2/SSL2015/rsa.cert.pem

  SSLCertificateKeyFile /etc/apache2/SSL2015/rsa.cert.key

  以上是指定证书的方式,各位根据 OpenSSL 的版本选择对应的方式,当然这还没完,下一步要直接指定证书加密方式,确保 ecc 的加密方式要在 rsa 模式的前面,否则 ecc 证书没法生效了。

  Nginx配置方法

  nginx 最新的 mainline 版本已经支持了双证书,推荐使用nginx 1.11.1版本,openssl 版本推荐使用1.0.2h版本。

  修改nginx的配置文件 nginx.conf 配置双证书:

  ssl_certificate ssl/ecc/server.pem;

  ssl_certificate_key ssl/ecc/server.key;

  ssl_certificate ssl/rsa/server.pem;

  ssl_certificate_key ssl/rsa/server.key;

  ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;

  ssl_prefer_server_ciphers on;

  ssl_stapling on;

  ssl_stapling_verify on;

  ssl_session_cache shared:SSL:10m;

  ssl_session_timeout 10m;

  add_header Strict-Transport-Security "max-age=31536000";

  error_page 497 https://$host$request_uri;

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页 本文来源:互联网

本文评论
BCS 2020举办区块链安全论坛 多方专家共议区块链在垂直行业的应用
8月11日下午,有着网络安全行业“达沃斯”之称的北京网络安全大会(以下简称BCS 2020),正...
日期:08-12
腾讯Q2财报:小程序交易额环比回升 公众号内容消费重焕活力
8月12日,腾讯发布二季报,数据显示,2020年上半年实现收入1148.83亿元,同比增长29%;Non-IFRS净利润301...
日期:08-12
应对联发科强劲需求,芯片测试商京元电子与矽格准备提高产能
8 月 12 日消息,据国外媒体报道,在此前的报道中,外媒曾提到在 5G 智能手机处理器方面有很大进展...
日期:08-12
摩托罗拉新机XT2081-2获FCC认证:配5000mAh电池
据外媒报道,一款型号为XT2081-2的摩托罗拉手机出现在FCC认证网站上。虽然该网站没有透露手机的营销...
日期:08-12
苏宁易购引领未来零售5G发展趋势,终端裂变重塑零售形态
近日,全场景智慧零售服务商苏宁易购与全球化监测和数据分析公司尼尔森联合发布首份零售行业5G应用发...
日期:08-12
台积电 3 家晶圆厂设备供应商 7 月营收同比大增,最高接近 80%
8 月 12 日消息,据国外媒体报道,为苹果等公司代工芯片的台积电,近几年在芯片制程工艺方面走在行...
日期:08-12
京东全资控股五星电器,成立新公司 “京东五星电器集团”
8 月 12 日消息,京东宣布全资控股五星电器,成立新公司拟定名为京东五星电器集团有限公司。
日期:08-12
BCS2020技术峰会:内生安全框架推动网络安全技术体系升级
8月12日,2020北京网络安全大会(BCS 2020)技术峰会正式召开。来自中、美、以等全球顶级的网络安全技...
日期:08-12
消息称三星与 ARM 和 AMD 合作,目标成为第一大 Android 应用处理器制造商
8 月 12 日消息 据 Business Korea 的最新报道,三星的目标是通过与 ARM 和 AMD 合作,成为第一大 A...
日期:08-12
近80% CEO预测远程办公是趋势 BCS2020举行远程办公与智能终端安全论坛
今年年初,突如其来的新冠“黑天鹅”,加速了远程办公的落地,远程办公系统与智能终端安...
日期:08-12
卢伟冰:Redmi K30 Pro因高刷缺席被喷 这次投入2亿重做K30至尊纪念版
作为Redmi的旗舰产品,Redmi K30 Pro因60Hz AMOLED屏成为不少米粉心中的小遗憾。
日期:08-12
Facebook 面临新指控:Instagram 被诉非法收集用户生物识别数据牟利
Facebook 最近又面临一项新的指控,称该公司非法收集用户的生物识别数据。这次诉讼的对象是 Faceboo...
日期:08-12
一加Nord新配色将于10月初推出 还有更便宜版本出售
据外媒消息,一加将于10月初推出一加Nord新配色——尘灰色(Gray Ash)。
日期:08-12
Realme证实C12/C15入门新机即将登陆印度市场 售价或低于10000卢比
在曝光了各种认证信息后不久,Realme 已证实将向印度市场投放 C12 和 C15 入门新机。早些时候,售价...
日期:08-12
TCL 发布 Mini LED 屏电视:最高支持 120Hz 可变刷新率
TCL 发布了最新一代 5 系列和 6 系列 Roku 电视,其中 6 系列电视最大特点是有 Mini LED 显示背光技...
日期:08-12
Nutanix混合云基础架构现已支持亚马逊云服务(AWS)
携手AWS,Nutanix Clusters支持应用云间无缝迁移及统一操作,助力企业加速云上旅程
日期:08-12
消息称可折叠苹果 iPad 2023 年发布:无铰链 + 屏下摄像头 + 3nm 芯片
关于可折叠 iPad 的讨论已经在进行中,有传言称该平板电脑的显示尺寸与 MacBook 相当。今天,推特爆...
日期:08-12
XSKY星辰天合发布全新下一代分布式文件系统XGFS
非结构化数据正以前所未有的速度增长。IDC的预测表明,到2025年,全球将有80%的数据是非结构化的。...
日期:08-12
买iPhone最值的时候来了!京东热8购物季iPhone 11低至4599元
暑假过半,考研复习进入关键时期。考研是一项全靠主观能动性的学习,调整好复习状态固然重要,但学...
日期:08-12
三星显示实现“低功耗自适应刷新率”技术商业化
近日,三星显示宣布实现低功耗“自适应刷新率”(Adaptive Frequency)技术商业化,可将OLE...
日期:08-12
  专栏介绍
郭椿砾 的专栏
郭椿砾发表的文章
积分:
自我介绍 :