SSL证书重要的密钥和证书是整个TLS加密的基石。只有拥有健壮的秘钥才能防止攻击者进行模拟攻击。目前来说对于秘钥的使用,RSA密钥普遍使用2048位,而ECC秘钥普遍使用256位。行业里也默认采用2048位RSA秘钥和256位的秘钥是安全的。RSA加密算法和ECC加密算法都属于非对称加密算法。理解起来比较可能比较抽象,我们来进行一个简单对比。比如:2048位的RSA算法加密其安全性相当于112位的对称密钥加密。加密位数越高,其安全性越高,这是肯定的。与此同时,位数越高,其运算速度就会越慢。现在ECC算法的使用也逐渐兴起,其算法速度比RSA的更快,效率更高。国密局推出的SM2算法也是属于ECC算法,属于众多椭圆曲线中的一条国产的椭圆曲线。为了方便大家更好的对比,下面列举一个算法安全性对比简图。
使用安全性高的密钥是最基本的要求。有了安全的密钥,如何保证你的密钥安全使用也是非常重要的一环。在你申请SSL证书的时候,CA机构都会要你递交证书请求文件CSR( Certificate Signing Request ),这就是为了确保密钥文件(私钥)是你自己产生的。在我们使用过程中可以通过给私钥配置密码保护。这样在私钥备份传输中也能进一步提高其安全性。如果有CA机构在你申请证书的时候帮你产生私钥,那么还是尽早远离它,太不专业了!
一般的个人用户使用加密的私钥就比较安全了,但是如果你对私钥的安全性要求非常高,那么给私钥加密这种方法也是不够的。厉害的的攻击者可以从进程内存中检索出你的私钥。这时候就需要做进一步的升级--采用硬件安全设备(HSM)。这种设备一般都比较昂贵,几w到几十w不等。像金融和政府机构这种安全性需求高的组织都需要使用这种硬件安全设备。对于普通的用户来说给私钥加密就足够了。
关于密钥的安全性就介绍这么多,其一是让大家了解密钥的安全属性,其二是为了提醒大家将自己的私钥视为珍宝,妥善保管。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。