<html>
<head>
<meta content="text/html; charset=windows-1252"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
Ja Ich weiß so kann man das schön machen.<br>
<br>
Ich wollte aber eigentlich was anderes wissen und zwar warum und
weshalb es sich lohnt die Option -2 oder -5 mitzugeben. <br>
<br>
<<<<<<<<<<<<<<<<<<<<<<<br>
Ich habe diesen openssl-Befehl auch zerlegt und gegoogelt. Ich
kommen nur nicht dahinter. Was bringt es mir für ein Vorteil wenn
ich einen dieser Parameter angebe?<br>
Ich habe dazu auch folgenden Link gefunden. Der hat mir aber auch
nicht meine Fragen wirklich beantwortet.<br>
<a class="moz-txt-link-freetext"
href="http://security.stackexchange.com/questions/54359/what-is-the-difference-between-diffie-hellman-generator-2-and-5">http://security.stackexchange.com/questions/54359/what-is-the-difference-between-diffie-hellman-generator-2-and-5</a><br>
<br>
<pre class="code" style="margin: 0px 0px 1.4em; padding: 0.7em 1em; font-family: Consolas, 'Andale Mono WT', 'Andale Mono', 'Bitstream Vera Sans Mono', 'Nimbus Mono L', Monaco, 'Courier New', monospace; font-size: 14px; direction: ltr; text-align: left; color: rgb(51, 51, 51); box-shadow: rgb(204, 204, 204) 0px 0px 0.5em inset; border-radius: 2px; overflow: auto; word-wrap: normal; border: 1px solid rgb(204, 204, 204); font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: 19.6000003814697px; orphans: auto; text-indent: 0px; text-transform: none; widows: 1; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: rgb(251, 250, 249);"># openssl dhparam -out /etc/pki/postfix/private/dh_2048.pem -2 2048</pre>
<br>
openssl dhparam -h<br>
dhparam [options] [numbits]<br>
where options are<br>
-inform arg input format - one of DER PEM<br>
-outform arg output format - one of DER PEM<br>
-in arg input file<br>
-out arg output file<br>
-dsaparam read or generate DSA parameters, convert to DH<br>
-check check the DH parameters<br>
-text print a text form of the DH parameters<br>
-C Output C code<br>
<b> -2 generate parameters using 2 as the generator
value</b><b><br>
</b><b> -5 generate parameters using 5 as the generator
value</b><br>
numbits number of bits in to generate (default 2048)<br>
-engine e use engine e, possibly a hardware device.<br>
-rand <a class="moz-txt-link-freetext" href="file:file">file:file</a>:...<br>
- load the file (or the files in the directory) into<br>
the random number generator<br>
-noout no output<br>
>>>>>>>>>>>>>>>>>>>>>><br>
<br>
<div class="moz-cite-prefix">Am 27.07.2015 um 11:42 schrieb Andreas
Schulze:<br>
</div>
<blockquote
cite="mid:20150727094209.GA12104@spider.services.datevnet.de"
type="cite">
<pre wrap="">-- Am 27.07.2015 11:24 schrieb Matthias Doering:
</pre>
<blockquote type="cite">
<pre wrap="">ich weiß das Thema kann langsam sicher keiner mehr hören. Die gute alten
DH-Params ;)
</pre>
</blockquote>
<pre wrap="">
<cryptografisch nicht fundierte Privatmeinung>
- DH-Parameter sollte nicht über mehrere Systeme geteilt werden.
Daher generiere ich alle Monate mal neue DH-Paramter.
Das schadet nicht und tut auf der anderen Seite kaum weh.
- Die Größe der DH-Parameter sollte nicht kleiner sein
als der korrespondierende RSA Schlüssel.
</>
für dovecot:
<a class="moz-txt-link-freetext" href="https://andreasschulze.de/dovecot/ssl-params">https://andreasschulze.de/dovecot/ssl-params</a>
für postfix (apache/nginx/lighttpd/openldap analog):
for length in 512 1024 2048 4096 8192 16384 32768; do
FILENAME="dh_${length}.pem"
nice -n 19 openssl gendh -out /tmp/${FILENAME} ${length}
chown ${OWNER}:root /tmp/${FILENAME}
chmod 600 /tmp/${FILENAME}
mv /tmp/${FILENAME} ${DATA_DIR}/
logger -t $0 "created new ${DATA_DIR}/${FILENAME}"
done
$product reload
jetzt warte ich mal auf eine Rückmeldung, wie lange openssl an einem 32 DH-Parameter rumkaut :-)
Andreas Schulze
Internetdienste | P252
</pre>
</blockquote>
<br>
<pre class="moz-signature" cols="72">--
Mit freundlichen Grüßen
Matthias Döring</pre>
</body>
</html>