¿Es necesario que el archivo de parámetros de DH sea único por clave privada?

12

Hay poca información disponible en línea sobre los parámetros DH utilizados en los cifrados DHE (y el tipo que está disponible está dirigido a criptógrafos, no a administradores de sistemas). Básicamente, como administrador del sistema, me gustaría saber si el archivo dhparam.pem debe ser único para cada clave privada, o se puede compartir entre varios sitios TLS alojados en el mismo servidor.

    
pregunta mricon 16.10.2014 - 06:08
fuente

1 respuesta

11

TL-DR sí parámetros (no claves) se pueden compartir.

Primero, no digas "teclas de parámetros". Los parámetros y las claves están relacionados pero son diferentes. El punto entero de los parámetros es que definen un grupo matemático dentro del cual se eligen y usan las claves . La generación de parámetros es costosa (moderadamente para DH y DSA, y mucho más para ECC); generar una clave para los parámetros dados es mucho más barato. Además, un punto principal de los conjuntos de cifrado DHE es que su implementación SSL genera una nueva clave efímera para cada conexión. Si está ejecutando un solo servidor con un conjunto fijo de parámetros DH, y ese servidor maneja más de una conexión de un cliente que usa DHE, ya está usando varias claves con los mismos parámetros. Y de manera similar para ECDHE, pero más sobre eso a continuación.

No hay ningún daño en el uso de los mismos parámetros para múltiples servidores, siempre y cuando los parámetros no sean elegidos o influenciados por un atacante o, de lo contrario, sean muy malos, en cuyo caso no deben usarse incluso para un servidor. El único caso que veo para varios parámetros es si tiene algunos servidores (posiblemente virtuales) que deben admitir clientes (generalmente más antiguos) que solo pueden manejar DH 1024 bits, que ahora tienen un margen de seguridad bastante pequeño, mientras que otros servidores desean el mayor margen - y / o cumplimiento con estándares como NIST 800-57 si corresponde - de 2048 bits o más.

Para ECDHE (y ECDHA y ECDH y ECDSA, aunque no eran su pregunta), existen conjuntos de parámetros estándar, comúnmente denominados curvas denominadas, que son mucho más fáciles de usar y también más interoperables de manera más / más confiable, por lo que Ni siquiera debes intentar generar el tuyo. A partir de ahora parece mejor usar siempre P-256 o tal vez P-384, las dos curvas estándar (de docenas) "bendecidas" por NSA en su perfil de Suite B.

Ver bastante duplicados

Meta: posiblemente esta pregunta se adapte mejor a la seguridad (con esos tres) que a la criptografía, aunque personalmente lo llamaría razonable para cualquiera de los dos, y creo que esa es la razón por la cual votamos a la baja.

    
respondido por el dave_thompson_085 16.10.2014 - 13:36
fuente

Lea otras preguntas en las etiquetas