¿Aumenta la seguridad de la conexión si vuelvo a generar los archivos dhparam utilizados con NGINX en nuestros servidores periódicamente, por ejemplo? ¿cada semana?
¿Qué problemas pueden surgir de esto?
¿Hay algún beneficio en hacer esto?
¿Aumenta la seguridad de la conexión si vuelvo a generar los archivos dhparam? utilizado con NGINX en nuestros servidores periódicamente, por ejemplo. todas las semanas?
No, no significativamente.
Los parámetros de DH son realmente solo un gran primo que requiere mucho tiempo para ser generado (porque tiene que ser un primo seguro ). Además, hay un llamado "generador", pero este es barato de generar.
En este momento, es imposible interrumpir una conexión DH negociada con un primer seguro de 2048 bits o más. Por lo tanto, si regenera su prima segura cada semana, no obtendrá seguridad adicional más allá de "irrompible". Sin embargo, esto no debe confundirse con la generación de sus propios parámetros propios (fuertes) una vez. Esto es para hacer un ataque de Logjam a escala de Internet mucho más difícil, pero como ya dije es opcional como parámetros No se puede romper de todos modos.
¿Qué problemas pueden surgir de esto?
Más carga computacional. La generación de los parámetros es probablemente uno de los cálculos criptográficos más intensos con los que se encontrará.
¿Hay algún beneficio en hacer esto?
Ganas algo como "super-forward-secret-secret". Con el efímero Diffie-Hellman, el atacante necesita romper cada conexión individualmente para recuperar los rayos de plaga. La carga por conexión se puede reducir al aplicar el truco de Logjam de realizar un precálculo gigante para los parámetros y solo realizar el último paso para cada conexión. Si cambia sus parámetros regularmente, limita el impacto que podría tener un ataque al estilo de Logjam. Sin embargo, ejecutar el algoritmo requerido para Logjam no es factible para los parámetros DH que usan primos largos (por ejemplo, 2048 bits o más).