PR
Мы говорим о более типичных случаях все-таки
Size: a a a
2020 January 25
E
Или ключ не утечёт, а его подберут. Просто втупую, перебором или атакой какого-то рода? Напомню, DES считался вполне надежным. Настолько, что американское Минобороны свои секреты им прикрывало. И где он сейчас?
пока квантовые компьютеры разлагают произвольные числа на простые только в пределах первых десятков, мы в безопасности
PR
Вы же не ждёте пока сертификат окончательно протухнет, чтобы начать его менять? Вы заменяете планово CA на всех компонентах, и какая разница при этом какой срок был у старого сертификата
Но старый будет оставаться формально валидным до окончания его экспирации. Потому делать сертификат с коротким сроком жизни будет разумнее
F
при таком подходе разницы нет, но и выписывать пятидесятилетний не имеет смысла
То есть сам по себе 50 летний сертификат это не страшно, вот об этом и речь, что нужно иметь нормальный регламент замены CA, а его срок уже вторичен.
W
Мы говорим о более типичных случаях все-таки
каких? вот я реально не вижу смысла в цифре 1 год. денег за него не просят, почему не 0,5? не 10? не 2?
PR
пока квантовые компьютеры разлагают произвольные числа на простые только в пределах первых десятков, мы в безопасности
Ну если ключ прямо очень интересный - можно напрячь на это дело кластер из видеокарт. Ты когда-нибудь слышал о проекте боутфорса биткоин-кошельков на пользовательских машинах? При брутфорсе тебе может просто повезти. Если ресурсов достаточно много - шансы возрастают. А мы не знаем, какие ресурсы будут доступны через 10 лет и по какой цене
PR
Может на это напрягут новый вид мирая. На игровых приставках
F
Ну если ключ прямо очень интересный - можно напрячь на это дело кластер из видеокарт. Ты когда-нибудь слышал о проекте боутфорса биткоин-кошельков на пользовательских машинах? При брутфорсе тебе может просто повезти. Если ресурсов достаточно много - шансы возрастают. А мы не знаем, какие ресурсы будут доступны через 10 лет и по какой цене
Если ваш кластер настолько кому-то интересен, то скорей к вам придут домой с паяльником
PR
каких? вот я реально не вижу смысла в цифре 1 год. денег за него не просят, почему не 0,5? не 10? не 2?
Да потому, что это глубоко индивидуально, логикой тут продиктовано, разве что, желание сделать сертификат покороче. Я для впн гейтов вообще 3 месяца ставлю
PR
Если ваш кластер настолько кому-то интересен, то скорей к вам придут домой с паяльником
И как это от HSM с арбитражным доступом поможет? Тут целая спецоперация потребуется
AS
мне кажется короткие сертификаты нужны чтобы исключить человеческий фактор из процесса роллинга - протух все сломалось, а не так что должны были обновить но почему-то "ой, забыли"
E
Ну если ключ прямо очень интересный - можно напрячь на это дело кластер из видеокарт. Ты когда-нибудь слышал о проекте боутфорса биткоин-кошельков на пользовательских машинах? При брутфорсе тебе может просто повезти. Если ресурсов достаточно много - шансы возрастают. А мы не знаем, какие ресурсы будут доступны через 10 лет и по какой цене
мы говорим про подбор числа, в общем случае, от 0 до 2^2048. насколько помню, чтобы исчерпать 8 ^ 64 = 2 ^ 192 за сто лет, нужно перебирать несколько сотен вариантов в наносекунду.
F
мне кажется короткие сертификаты нужны чтобы исключить человеческий фактор из процесса роллинга - протух все сломалось, а не так что должны были обновить но почему-то "ой, забыли"
Так вот моя позиция в том, что «все сломалось» - это хуже, чем забыть обновить серт. Лучше я об этом вспомню через 2 месяца, чем получу тыкву вместо кластера
PR
мы говорим про подбор числа, в общем случае, от 0 до 2^2048. насколько помню, чтобы исчерпать 8 ^ 64 = 2 ^ 192 за сто лет, нужно перебирать несколько сотен вариантов в наносекунду.
Ты не хуже меня знаешь, как быстро в ИТ «невозможно» превращается в «привычно» :)
AS
взлом сертификата это вряд ли основной риск с ним, гораздо важнее физическое похищение сертификата. По этой же причине рекомендуют пароли менять раз в год - не потому что их за год не подберут а ровно 1 января следующего года вдруг подберут - просто за год этот пароль многократно используется и может куда-то утечь явно или неявно
AS
Так вот моя позиция в том, что «все сломалось» - это хуже, чем забыть обновить серт. Лучше я об этом вспомню через 2 месяца, чем получу тыкву вместо кластера
напоминалку заведи
PR
Основной риск, кмк
E
Ты не хуже меня знаешь, как быстро в ИТ «невозможно» превращается в «привычно» :)
я пожалуй сначала подожду, когда научатся время с точностью до наносекунды измерять, это вроде задача попроще