选择密钥算法

在创建证书授权机构 (CA) 之前,您必须为 CA 的后备 Cloud Key Management Service 密钥选择签名算法。Certificate Authority Service 允许您使用任何受支持的非对称签名算法,通过现有的 Cloud KMS 密钥创建 CA,或者从这些算法的较小子集中进行选择,并让该服务创建和管理密钥生命周期。

本页介绍了在确定 CA 的签名算法时必须考虑的因素。

算法系列

Cloud KMS 支持两类非对称签名操作算法:RSA 和 ECDSA。

RSA

基于 RSA 的签名方案因其历史悠久,在多个平台上具有广泛的兼容性。如果您需要支持使用旧版操作系统、协议、固件或其他技术栈的客户端,RSA 是一个常见的选择。

Cloud KMS 公开了 RSA 签名算法的两个主要变体:RSA_SIGN_PSSRSA_SIGN_PKCS1PSS 变体使用 RFC 8017 第 8.1 节中所述的 RSASSA-PSS 签名方案,该方案较新,并且被认为更安全且可验证。PKCS1 变体使用 RFC 8017 第 8.2 节中所述的旧版 PKCS#1 v1.5 签名方案。

如果所有可能使用这些证书的应用都支持 PSS 变体,我们建议较新的层次结构使用 PSS 变体。否则,由于 PKCS1 变体支持范围更广,因此更适合选择。

ECDSA

虽然基于椭圆曲线的非对称密钥比 RSA 密钥相对较新,但过去十年中发布的许多最常见的技术栈仍支持它们。它们特别受欢迎,因为它们可以使用较小的密钥大小实现与 RSA 密钥类似的安全强度。使用 ECDSA 密钥的应用通过网络存储和传输的数据量会减少。

Cloud KMS 公开了 ECDSA 签名算法的两个主要变体:EC_SIGN_P256EC_SIGN_P384

混合链

混合(或混合)链是指一个或多个证书使用不同密钥算法族的证书链,例如,某些证书使用 RSA,而其他证书使用 ECDSA。某些技术栈在解析混合证书链时会遇到问题,并且在这些情况下可能会显示意外错误。此外,某些行业可能有合规性要求,要求 CA 链使用单个算法族。

通常,为 ECDSA 密钥设置的 CA 链与 RSA 密钥使用的 CA 链是不同的。

键大小

虽然密钥大小越大(在同一族内),安全性就越高,但这也会导致通过线路存储和传输的数据量增加。此外,如果密钥大小较大,加密和签名操作有时可能需要更长时间,但这通常很短,不会被注意到。

通常的做法是,对于使用时间较长的密钥(例如与根 CA 或长期有效的从属 CA 关联的密钥),使用比其他密钥更高的安全强度密钥大小。

决策指南

您可以使用以下简单指南为您的 CA 密钥选择合适的签名算法:

  1. 选择算法族

    如果您要创建一个从属 CA 并将其链接到现有的根 CA,请使用与根 CA 相同的系列。

    如果您要创建新的根 CA,但需要与不支持 ECDSA 的旧版系统搭配使用,请使用某种 RSA 签名算法

    否则,请使用某种椭圆曲线签名算法

  2. (仅限 RSA)选择签名算法

    如果您打算使用不支持 PSS 的旧版库或框架,请使用 RSA_SIGN_PKCS1 算法之一。

    否则,请使用 RSA_SIGN_PSS 算法之一。

  3. 选择密钥大小

    对于预计生命周期为数年的新的根 CA 或从属 CA,我们建议您使用该算法族可用的最大密钥大小。

    • 对于 RSA,支持的最大密钥大小为 4096 位。
    • 对于 ECDSA,支持的最大密钥大小为 384 位。

    对于生命周期较短的从属 CA,使用较小的密钥大小即可,例如 RSA 密钥为 2048 位,ECDSA 密钥为 256 位。

后续步骤