¿Qué son los grupos DH "seleccionados"?

Navega tus respuestas
6

Actualmente se recomienda hacer algo sobre los contenidos de / etc / ssh / moduli. He visto dos maneras:

  • para eliminar todos los módulos de menos de 2047 bytes de tamaño del archivo.
  • para recrearlos usando ssh-keygen.

La primera es una solución muy rápida, e inmediatamente debería mejorar la seguridad. Por otro lado, no sé si hay algún problema adicional para los restantes que están al acecho y lo descubriremos en unos pocos meses. Por lo tanto, al menos quiero recopilar la manera exacta de regenerar / etc / ssh / moduli utilizando ssh-keygen.

La página del manual dice lo siguiente: 

 By default, each candidate will be subjected to 100 primality tests.
 This may be overridden using the -a option.  The DH generator value will
 be chosen automatically for the prime under consideration.  If a specific
 generator is desired, it may be requested using the -W option.  Valid
 generator values are 2, 3, and 5.

 Screened DH groups may be installed in
 .../etc/ssh/moduli.  It is important that this file con-
 tains moduli of a range of bit lengths and that both ends of a connection
 share common moduli.

Me pregunto qué significa " seleccionado " en este contexto. ¿Significa que corriste? 

  ssh-keygen -T moduli-length-f moduli-length.candidates

contra un archivo creado usando -G? ¿O significa que tienes a alguien (que es un grupo de especialistas en criptografía con supercomputadoras a tu alcance) que los mira con métodos más sofisticados?

Es extremadamente vago, no puedo decir lo que significan. Para empeorar las cosas, no he encontrado ninguna distribución que haya documentado cómo hacen los conjuntos de módulos para su propio paquete SSH. Supongo que lleva días si incluyen 8k, así que están contentos de haber terminado con eso, pero tampoco infunde confianza. Así que realmente me encantaría tener una idea de esto.

Si se ha preguntado: la diferencia entre 2 y 5 podría se describe aquí: ¿Cuál es la diferencia entre el generador Diffie Hellman 2 y 5?

Pero en realidad, la página de manual dice "el generador DH", que podría ser 2 o 5. Impresionante.

    
pregunta Florian Heigl 05.06.2015 - 22:09
fuente

1 respuesta

2

"screened" significa "ha sido verificado como bueno y fuerte y no debilitado deliberadamente, por alguien que sabe lo que esto significa". En la práctica, esto significa que los parámetros se han generado con el método NUMS .

    
respondido por el Thomas Pornin 05.06.2015 - 22:15
fuente

Lea otras preguntas en las etiquetas

Cómo determinar las clasificaciones de riesgo para aplicaciones móviles de terceros ¿Cuándo un token de Apple Pay se convierte en una tarjeta de crédito real?