При использовании SSL-шифров, основанных на обмене ключами diffie-hellman, размер используемого закрытого ключа имеет решающее значение для безопасности такого обмена ключами.
Когда я подключаюсь к серверу с помощью инструмента openssl s_client, как я могу запрашивать используемые параметры DH?
Ответы:
Я не знаю простого в использовании переключателя командной строки, но в openssl s_clientкомандной строке вы можете добавить -msgопцию для получения шестнадцатеричного дампа сообщения рукопожатия. Затем найдите ServerKeyExchangeсообщение; это должно выглядеть так:
<<< TLS 1.2 Handshake [length 030f], ServerKeyExchange
0c 00 03 0b 01 00 ff ff ff ff ff ff ff ff c9 0f
da a2 21 68 c2 34 c4 c6 62 8b 80 dc 1c d1 29 02
4e 08 8a 67 cc 74 02 0b be a6 3b 13 9b 22 51 4a
(...)
и это читается так:
0c 00 03 0b: сообщение типа «ServerKeyExchange» (это «0c») длиной 0x00030B байтов.01 00, означая целое число, закодированное в 0x0100 байтов. Это 256 байт, поэтому модуль имеет длину от 2041 до 2048 бит.ff ff ff ff.... Модуль имеет длину ровно 2048 бит.Если вы используете набор шифров ECDHE (эллиптическая кривая), то ServerKeyExchange, конечно, формат будет другим.
См. Стандарт для определения ServerKeyExchangeсообщения. Для наборов шифров DHE он содержит модуль p , генератор g и открытый ключ DH сервера y в том порядке, каждый из которых выражается как большое целое число в формате, описанном выше (16-битный заголовок, который содержит длину в байтах, затем целое число значение в беззнаковой кодировке с прямым порядком байтов).
Последние версии OpenSSL имеют тенденцию выбрать размер DH модуль , который соответствует (с точки зрения безопасности) силы пары ключей сервера (используется для подписать на ServerKeyExchangeсообщение). В приведенном выше примере сервер имеет 2048-битный ключ RSA, поэтому OpenSSL решил использовать 2048-битный модуль DH (в этом случае хорошо известный модуль, описанный в RFC 3526, раздел 3 ).
Некоторые другие серверы используют 1024-битные группы DH, чтобы обеспечить совместимость с некоторыми существующими клиентами, которые не поддерживают большие группы DH (наибольшим нарушителем является реализация SSL в Java, исправленная в Java 8 build 56 в 2012 году). Известный недостаток протокола TLS для наборов шифров DHE состоит в том, что у клиента нет возможности указать, какой размер модуля он может поддерживать (это исправлено для ECDHE, поскольку клиент может указать точный список кривых, которые он принимает) ,
ServerKeyExchangeс 0c 00 03 0b. Можете ли вы предоставить точную команду, чтобы получить вывод? У меня нет ни одного рукопожатия, начинающегося с0c
Если у вас есть сертификат в формате PEM, вы можете попробовать эту команду, она должна дать вам правильный вывод из команды Openssl.
openssl dhparam -inform PEM -in ./imapd.pem -check -text
(Образец вывода)
PKCS # 3 DH Параметры: (512 бит)
премьер:
хх: хх: хх: хх
хх: хх: хх: хх
хх: хх: хх: хх
генератор: 2 (0x2)
Параметры DH, кажется, в порядке.
----- НАЧАТЬ DH ПАРАМЕТРЫ -----
XXXX
XXXX
----- КОНЕЦ DH ПАРАМЕТРОВ -----
Надеюсь, это то, что вы ищете.
s_clientвсегда отображает «Temp server key» DH & size или ECDH & curve, когда это применимо, непосредственно перед «рукопожатием прочитано x и написано y», поэтому вам больше не нужно расшифровать его. Это недавний Apache mod_ssl, который автоматически выбирает DHE: httpd.apache.org/docs/trunk/mod/mod_ssl.html#sslcertificatefile (который отмечает проблему с клиентами Java).