ECC Zertifikat ausstellen

ECC Zertifikate

Elliptic Curve Cryptography

ECC-Zertifikate sind Nachfolger der RSA-Zertifikate. ECC-Zertifikate werden immer populärer, weil ihre geringen Schlüsselgrößen für weniger Rechenoperationen sorgen und dadurch wesentlich performanter sind, als RSA-Zertifikate.

Die Vorteile liegen darin, das während des Handshakes weniger Daten vom Server an den Client übertragen werden müssen, ebenso spart man dadurch an CPU und RAM ein.

Im Vergleich zu einem 7680-Bits RSA-Schlüssel steht ein 384-Bits EC-Schlüssel. Beide Schlüssel sind in ihrer Sicherheit gleichwertig zu betrachten.

ECC vs RSA

ECC Zertifikate

Damit ECC-Zertifikate überhaupt ausgestellt werden können, benötigt man einen passenden Kryptografieanbieter “Cryptography Next Generation (CNG)”, der elliptische Kurven unterstützt. Dieser ist bei der Installation einer Zertifizierungsstelle entsprechend einzurichten.

Der RSA#Microsoft Software Key Storage Provider ist wohl der meist gewählte Provider.

ECC Zertifikate

Um ECC-Zertifikate ausstellen (signieren) zu können, muss zuvor eine geeignete z.B. auf dem Algorithmus ECDH_P384 basierende Zertifikatvorlage erstellt werden. Die Mindestanforderung an die Schlüsselgröße sowie die des Hashes, sollte an die jeweilige Situation angepasst werden.

ECDH_P384 Algorithmus

ECC Zertifikatrequest

Schaut man sich nach der Signierung eines (ECC) Requests die Eigenschaften des Zertifikats einmal genauer an, erkennen wir ganz schnell die Unterschiede in der Schlüsselgröße.

ECC Zertifikatrequest RSA Zertifikat vs ECC Zertifikat