Al crear los parámetros de Diffie Hellman para OpenSSH, hay un proceso de dos pasos que se ve así para generar y filtrar los primos seguros para el intercambio de claves de Diffie Hellman:
ssh-keygen -b 4096 -G dh4096-insecure
ssh-keygen -f dh4096-insecure -T dh4096
Al leer la documentación de OpenVPN, recomiendan generar parámetros de DH como:
openssl dhparam 2048 -out dh2048.pem
¿Hay alguna forma de filtrar estos primos por seguridad antes de usarlos con OpenVPN?
Un primo seguro p es un primo tal que p = 2 q + 1, con q también es un primo. En realidad, hay dos formas de encontrar primos seguros: una es generar un primo (es decir, un número aleatorio y aplicar una prueba de primalidad a sus sucesores desiguales) p; luego calcule q = (p - 1) / 2 y realice una segunda prueba de primalidad en q.
Sin embargo, también se puede generar primero un q primo (número aleatorio y prueba de primalidad en sucesores desiguales), calcular p = 2 q + 1 y realizar una prueba de primalidad en la p.
Si ambas pruebas de primalidad son confiables, creo que ambos procedimientos son equivalentes. No sé qué procedimiento es más propenso a "primos no seguros manipulados". En cualquier caso, uno puede hacer fácilmente la generación de uno mismo.
Lea otras preguntas en las etiquetas diffie-hellman openssl openssh openvpn