Nội dung cập nhật

Network Load Balancer (NLB) đã hỗ trợ chứng chỉ RSA 3072 bit và chứng chỉ Elliptic Curve Digital Signature Algorithm (ECDSA – thuật toán sinh chữ ký số dựa trên đường cong Elliptic) 256, 384 and 521 bit thông qua AWS Certificate Manager (ACM).

Cập nhật này có thể thực hiện mã hóa mạnh hơn trong quá trình truyền dữ liệu. Trong thực tế, để kích hoạt tính năng này, bạn cần tạo hoặc import RSA 3072 bit certificate hoặc ECDSA 256/384/521 bit certificate thông qua ACM. Sau đó, sử dụng AWS API hoặc AWS Management Console để đính kèm certificate vào NLB như bình thường.

Xem xét cường độ bảo mật và số lượng bit

Số lượng bit càng tăng thì có tốt hơn không? 

Ví dụ: với key 112 bit, cần 2112 lần thử để sử dụng hết không gian key.

Tuy nhiên, điều quan trọng là độ mạnh bảo mật và độ dài của key không nhất thiết phải khớp nhau. Key mã hóa 112 bit không nhất thiết phải có độ mạnh bảo mật 112 bit.

Với ECDSA, bạn sẽ được cung cấp độ mạnh bảo mật cao hơn với chi phí tính toán thấp hơn.

ECDSA P-256 cung cấp độ mạnh bảo mật 128 bit, tương đương với key RSA 3072. Trong khi đó, ECDSA P-384 cung cấp độ mạnh bảo mật 192 bit, tương đương với key liên kết với RSA 7680 certificate.

IMG_256
Bảng so sánh độ dài khoá của ECDSA và RSA

Sự khác biệt giữa ECDSA và RSA

ECDSA cung cấp độ mạnh bảo mật cao hơn so với RSA với cùng độ dài key. Không có chi phí hiệu suất phát sinh thêm. Vì vậy, không cần xem xét ảnh hưởng đến hiệu suất.

Ví dụ: ECDSA P-256 có hiệu suất tương đương RSA 2048 trong khi cung cấp độ mạnh bảo mật tương đương RSA 3072.

Điều này là vì chứng chỉ ECDSA có kích thước tối đa nhỏ hơn 50% so với chứng chỉ RSA, do đó phù hợp để bảo vệ dữ liệu truyền tải ở băng thông thấp, và trong các ứng dụng có giới hạn về bộ nhớ hoặc lưu trữ như Internet of Things (IoT).

Thử nghiệm trên NLB

Yêu cầu chứng chỉ từ ACM Management Console. Chọn [public certificate] và chọn [Tiếp theo].

IMG_256

Chọn thuật toán key ở dưới. Chọn [Xác minh DNS]. Tag là tùy chọn, chọn vào [Yêu cầu].

ECDSA P-256 — Equivalent in security strength to RSA 3072

ECDSA P-384 — Equivalent in security strength to RSA 7680

IMG_256

Quy trình đính kèm vào NLB cũng giống như chứng chỉ RSA thông thường.

Tham khảo: 

【アップデート】Network Load BalancerがRSA 3072-bit、 ECDSA 256/384/521-bitの証明書をサポートしました | SunnyCloud