Analyserer DH nøgle for lille fejl

  • Blog
  • Analyserer DH nøgle for lille fejl

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

Analyserer DH nøgle for lille fejl

1 min læses

Indholdsfortegnelse

Hvad er en DH-nøgle? #

En Diffie-Hellman (DH) nøgle er en kryptografisk metode, der bruges til sikkert at udveksle hemmelige nøgler over et ikke-tillidsfuldt netværk. Den giver to parter mulighed for uafhængigt at generere offentlige og private nøglepar, dele deres offentlige nøgler og udlede en delt hemmelig nøgle uden nogensinde at overføre deres private nøgler. Denne delte hemmelige nøgle kan derefter bruges til kryptering, hvilket sikrer fortroligheden og integriteten af ​​kommunikationen mellem de to parter. DH-nøgleudveksling er en grundlæggende komponent i sikre kommunikationsprotokoller som SSL/TLS, SSH og VPN'er, der tilbyder beskyttelse mod aflytning og sikrer sikker dataoverførsel.

Hvad er en ECDHE-nøgle? #

På den anden side er ECDHE, eller Elliptic Curve Diffie-Hellman Ephemeral, en kryptografisk nøgleudvekslingsmetode, der bruges i sikre kommunikationsprotokoller som SSL/TLS til at etablere en sikker og effektiv forbindelse mellem to parter. Den udnytter elliptisk kurvekryptografi til at muliggøre sikker udveksling af krypteringsnøgler. ECDHE leverer Perfect Forward Secrecy ved at generere kortvarige nøglepar for hver session, hvilket sikrer, at selvom en sessions nøgle kompromitteres, kompromitterer det ikke sikkerheden for andre sessioner. Denne metode tilbyder et stærkt sikkerhedsniveau med kortere nøglelængder, hvilket gør den beregningsmæssigt effektiv og velegnet til forskellige applikationer, herunder sikker websurfing og e-mailkryptering.

Trin til at analysere fejlen om DH-nøglen er for lille #

Analyse af fejlen "DH-nøgle for lille" forekommer typisk i forbindelse med brug af kryptografiske protokoller som SSL/TLS eller SSH og refererer til brugen af ​​svage eller utilstrækkelige Diffie-Hellman-nøglestørrelser til sikker nøgleudveksling. Lad os gennemgå logmeddelelserne i RELIANOID Load Balancer.

27. juli 17:43:20 noid-ee-01 pund: MyHTTPfarm, BIO_do_handshake med :443 mislykkedes: fejl:141A318A:SSL rutiner:tls_process_ske_dhe:dh nøglen er for lille

Denne fejl om "DH-nøgle for lille" registreres, når der oprettes forbindelse til en bestemt backend. Vi kan teste SSL-forbindelsen med følgende kommando:

root@noid-ee-01:~# openssl s_client -connect :443 -servernavn  | grep Temp [...] Server Temp-nøgle: [...]

Serverens midlertidige nøgle bør være 2048 bit for en god sikret tjeneste, så hvis backend-DH-nøglen yder for lavt, vises denne fejlmeddelelse om "DH-nøgle for lille".

Som standard tillader openssl-konfigurationen i load balancer mindst TLSv1.2 og en SECLEVEL på 2. Dette er defineret i konfigurationsfilen. /etc/ssl/openssl.cnf.

[system_default_sect] MinProtocol = TLSv1.2 CipherString = DEFAULT@SECLEVEL=2

Så for at løse dette problem er det nødvendigt at hærde cifrene i backend-siden og tillade stærkere cifre som "ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-SHA384,ECDHE-RSA-AES256-SHA". Sørg venligst for, at sådanne krypteringer er tilgængelige i dine sikrede backend-tjenester."

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs