dhparams erstellen

Mo Jul 27 11:42:09 CEST 2015

-- Am 27.07.2015 11:24 schrieb Matthias Doering:
> ich weiß das Thema kann langsam sicher keiner mehr hören. Die gute alten
> DH-Params ;)

<cryptografisch nicht fundierte Privatmeinung>

 - DH-Parameter sollte nicht über mehrere Systeme geteilt werden.
   Daher generiere ich alle Monate mal neue DH-Paramter.
   Das schadet nicht und tut auf der anderen Seite kaum weh.

 - Die Größe der DH-Parameter sollte nicht kleiner sein
   als der korrespondierende RSA Schlüssel.
</>

für dovecot:
https://andreasschulze.de/dovecot/ssl-params

für postfix (apache/nginx/lighttpd/openldap analog):

  for length in 512 1024 2048 4096 8192 16384 32768; do
    FILENAME="dh_${length}.pem"
    nice -n 19 openssl gendh -out /tmp/${FILENAME} ${length}
    chown ${OWNER}:root /tmp/${FILENAME}
    chmod 600 /tmp/${FILENAME}
    mv /tmp/${FILENAME} ${DATA_DIR}/
    logger -t $0 "created new ${DATA_DIR}/${FILENAME}"
  done
  $product reload

jetzt warte ich mal auf eine Rückmeldung, wie lange openssl an einem 32 DH-Parameter rumkaut :-)

Andreas Schulze
Internetdienste | P252

-- 
DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info at datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70

Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dr. Robert Mayr (stellv. Vorsitzender)
Eckhard Schwarzer (stellv. Vorsitzender)
Dr. Peter Krug
Jörg Rabe von Pappenheim

Vorsitzender des Aufsichtsrates: Dirk Schmale