dhparams erstellen

Matthias Doering matthias.doering at mldsc.de
Mo Jul 27 13:17:01 CEST 2015


Ja Ich weiß so kann man das schön machen.

Ich wollte aber eigentlich was anderes wissen und zwar warum und weshalb 
es sich lohnt die Option -2 oder -5 mitzugeben.

<<<<<<<<<<<<<<<<<<<<<<
Ich habe diesen openssl-Befehl auch zerlegt und gegoogelt. Ich kommen 
nur nicht dahinter. Was bringt es mir für ein Vorteil wenn ich einen 
dieser Parameter angebe?
Ich habe dazu auch folgenden Link gefunden. Der hat mir aber auch nicht 
meine Fragen wirklich beantwortet.
http://security.stackexchange.com/questions/54359/what-is-the-difference-between-diffie-hellman-generator-2-and-5

# openssl dhparam -out /etc/pki/postfix/private/dh_2048.pem -2 2048


openssl dhparam -h
dhparam [options] [numbits]
where options are
  -inform arg   input format - one of DER PEM
  -outform arg  output format - one of DER PEM
  -in arg       input file
  -out arg      output file
  -dsaparam     read or generate DSA parameters, convert to DH
  -check        check the DH parameters
  -text         print a text form of the DH parameters
  -C            Output C code
* -2            generate parameters using  2 as the generator value**
** -5            generate parameters using  5 as the generator value*
  numbits       number of bits in to generate (default 2048)
  -engine e     use engine e, possibly a hardware device.
  -rand file:file:...
                - load the file (or the files in the directory) into
                the random number generator
  -noout        no output
 >>>>>>>>>>>>>>>>>>>>>>

Am 27.07.2015 um 11:42 schrieb Andreas Schulze:
> -- Am 27.07.2015 11:24 schrieb Matthias Doering:
>> ich weiß das Thema kann langsam sicher keiner mehr hören. Die gute alten
>> DH-Params ;)
> <cryptografisch nicht fundierte Privatmeinung>
>
>   - DH-Parameter sollte nicht über mehrere Systeme geteilt werden.
>     Daher generiere ich alle Monate mal neue DH-Paramter.
>     Das schadet nicht und tut auf der anderen Seite kaum weh.
>
>   - Die Größe der DH-Parameter sollte nicht kleiner sein
>     als der korrespondierende RSA Schlüssel.
> </>
>
> für dovecot:
> https://andreasschulze.de/dovecot/ssl-params
>
> für postfix (apache/nginx/lighttpd/openldap analog):
>
>    for length in 512 1024 2048 4096 8192 16384 32768; do
>      FILENAME="dh_${length}.pem"
>      nice -n 19 openssl gendh -out /tmp/${FILENAME} ${length}
>      chown ${OWNER}:root /tmp/${FILENAME}
>      chmod 600 /tmp/${FILENAME}
>      mv /tmp/${FILENAME} ${DATA_DIR}/
>      logger -t $0 "created new ${DATA_DIR}/${FILENAME}"
>    done
>    $product reload
>
> jetzt warte ich mal auf eine Rückmeldung, wie lange openssl an einem 32 DH-Parameter rumkaut :-)
>
> Andreas Schulze
> Internetdienste | P252
>

-- 
Mit freundlichen Grüßen

Matthias Döring

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150727/f3fde502/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users