dhparams erstellen
Matthias Doering
matthias.doering at mldsc.de
Mo Jul 27 13:17:01 CEST 2015
Ja Ich weiß so kann man das schön machen.
Ich wollte aber eigentlich was anderes wissen und zwar warum und weshalb
es sich lohnt die Option -2 oder -5 mitzugeben.
<<<<<<<<<<<<<<<<<<<<<<
Ich habe diesen openssl-Befehl auch zerlegt und gegoogelt. Ich kommen
nur nicht dahinter. Was bringt es mir für ein Vorteil wenn ich einen
dieser Parameter angebe?
Ich habe dazu auch folgenden Link gefunden. Der hat mir aber auch nicht
meine Fragen wirklich beantwortet.
http://security.stackexchange.com/questions/54359/what-is-the-difference-between-diffie-hellman-generator-2-and-5
# openssl dhparam -out /etc/pki/postfix/private/dh_2048.pem -2 2048
openssl dhparam -h
dhparam [options] [numbits]
where options are
-inform arg input format - one of DER PEM
-outform arg output format - one of DER PEM
-in arg input file
-out arg output file
-dsaparam read or generate DSA parameters, convert to DH
-check check the DH parameters
-text print a text form of the DH parameters
-C Output C code
* -2 generate parameters using 2 as the generator value**
** -5 generate parameters using 5 as the generator value*
numbits number of bits in to generate (default 2048)
-engine e use engine e, possibly a hardware device.
-rand file:file:...
- load the file (or the files in the directory) into
the random number generator
-noout no output
>>>>>>>>>>>>>>>>>>>>>>
Am 27.07.2015 um 11:42 schrieb Andreas Schulze:
> -- Am 27.07.2015 11:24 schrieb Matthias Doering:
>> ich weiß das Thema kann langsam sicher keiner mehr hören. Die gute alten
>> DH-Params ;)
> <cryptografisch nicht fundierte Privatmeinung>
>
> - DH-Parameter sollte nicht über mehrere Systeme geteilt werden.
> Daher generiere ich alle Monate mal neue DH-Paramter.
> Das schadet nicht und tut auf der anderen Seite kaum weh.
>
> - Die Größe der DH-Parameter sollte nicht kleiner sein
> als der korrespondierende RSA Schlüssel.
> </>
>
> für dovecot:
> https://andreasschulze.de/dovecot/ssl-params
>
> für postfix (apache/nginx/lighttpd/openldap analog):
>
> for length in 512 1024 2048 4096 8192 16384 32768; do
> FILENAME="dh_${length}.pem"
> nice -n 19 openssl gendh -out /tmp/${FILENAME} ${length}
> chown ${OWNER}:root /tmp/${FILENAME}
> chmod 600 /tmp/${FILENAME}
> mv /tmp/${FILENAME} ${DATA_DIR}/
> logger -t $0 "created new ${DATA_DIR}/${FILENAME}"
> done
> $product reload
>
> jetzt warte ich mal auf eine Rückmeldung, wie lange openssl an einem 32 DH-Parameter rumkaut :-)
>
> Andreas Schulze
> Internetdienste | P252
>
--
Mit freundlichen Grüßen
Matthias Döring
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150727/f3fde502/attachment.html>
Mehr Informationen über die Mailingliste Postfixbuch-users