Oversigt #

Diffie-Hellman nøgleudveksling (DH) er en metode til at generere en privat nøgle mellem to maskiner, der er forbundet via en usikker kanal.

Når en klient opretter forbindelse til en sikret webtjeneste, finder SSL-forhandling sted, hvor de offentlige nøgler udveksles, og derefter indgår de to parter en aftale om de nøgler og krypteringer, der skal bruges under kommunikationen.

In denne illustration er perfekt forklaret, hvordan forhandlingen opfører sig med farver. Forestil dig bare, hvordan det fungerer med store tilfældige tal beregnet af begge kommunikationsnoder.

Sådan bruges det i en load balancer #

Load balancer opretter SSL-tjenester, når den udfører SSL-offload-operationer, i formen:

Zen Load Balancer bruger OpenSSL værktøj med dhparam muligheder for at generere Diffie-Hellman-nøglerne. Læs mere om de fulde muligheder link..

For at oprette en SSL Offload-farm (HTTP-profil med HTTPS-lytter i Zen Load Balancer) det er påkrævet at generere en Diffie-Hellman-nøgle med følgende gode fremgangsmåder for at sikre en robust nøglegenerering.

1. En minimumsnøglelængde på 2048 bit. En større længde vil betyde, at det er vanskeligere at dekryptere inden for en rimelig tidsperiode.
2. Én DH-nøgle pr. SSL-farm for at gøre det vanskeligere at afbryde kommunikationen mellem flere SSL-tjenester og isolere sikkerheden for hver farm.
3. Mindre forudsigelig i den tilfældige generation betyder vanskeligere at afbryde kommunikationen.

Bemærk, at genereringen af ​​Diffie-Hellman-nøgler normalt er en beregningsmæssigt dyr proces, da generering af tilfældige tal kan tage for lang tid, men dette sikrer en sikkerhedsgaranti for vores SSL-tjenester.

Referencer #

https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange
http://mathworld.wolfram.com/Diffie-HellmanProtocol.html