Analyse de la clé DH trop petite erreur

  • Blog
  • Analyse de la clé DH trop petite erreur

Expérience en matière de fiabilité du site

Voir les catégories

Analyse de la clé DH trop petite erreur

1 min de lecture

Table des Matières

Qu'est-ce qu'une clé DH ? #

Une clé Diffie-Hellman (DH) est une méthode cryptographique utilisée pour échanger en toute sécurité des clés secrètes sur un réseau non fiable. Il permet à deux parties de générer indépendamment des paires de clés publiques et privées, de partager leurs clés publiques et de dériver une clé secrète partagée sans jamais transmettre leurs clés privées. Cette clé secrète partagée peut ensuite être utilisée pour le chiffrement, garantissant ainsi la confidentialité et l'intégrité de la communication entre les deux parties. L'échange de clés DH est un élément fondamental des protocoles de communication sécurisés tels que SSL/TLS, SSH et VPN, offrant une protection contre les écoutes clandestines et garantissant une transmission sécurisée des données.

Qu'est-ce qu'une clé ECDHE ? #

D'autre part, ECDHE, ou Elliptic Curve Diffie-Hellman Ephemeral, est une méthode d'échange de clé cryptographique utilisée dans les protocoles de communication sécurisés comme SSL/TLS pour établir une connexion sécurisée et efficace entre deux parties. Il exploite la cryptographie à courbe elliptique pour permettre l'échange sécurisé de clés de chiffrement. ECDHE fournit une confidentialité parfaite en générant des paires de clés éphémères pour chaque session, garantissant que même si la clé d'une session est compromise, elle ne compromet pas la sécurité des autres sessions. Cette méthode offre un niveau de sécurité élevé avec des longueurs de clé plus courtes, ce qui la rend efficace sur le plan informatique et bien adaptée à diverses applications, notamment la navigation Web sécurisée et le cryptage des e-mails.

Étapes pour analyser la clé DH trop petite erreur #

L'analyse de l'erreur « Clé DH trop petite » se produit généralement dans le contexte de l'utilisation de protocoles cryptographiques tels que SSL/TLS ou SSH et fait référence à l'utilisation de tailles de clé Diffie-Hellman faibles ou insuffisantes pour un échange de clé sécurisé. Passons en revue les messages du journal dans RELIANOID Équilibreur de charge.

27 juillet 17:43:20 noid-ee-01 livre : MyHTTPfarm, BIO_do_handshake avec :443 a échoué : erreur : 141A318A : routines SSL : tls_process_ske_dhe : clé dh trop petite

Cette erreur concernant « Clé DH trop petite » est détectée lors de la connexion à un certain backend. Nous pouvons tester la connexion SSL avec la commande suivante :

root@noid-ee-01 : ~# openssl s_client -connect :443 -nom du serveur  | grep Temp [...] Clé temporaire du serveur : [...]

Le Clé temporaire du serveur devrait être de 2048 bits pour un bon service sécurisé, donc si la clé DH backend fonctionne trop faiblement, ce message d'erreur concernant « Clé DH trop petite » apparaît.

Par défaut, la configuration openssl dans l'équilibreur de charge autorise un minimum de TLSv1.2 et un SECLEVEL de 2. Ceci est défini dans le fichier de configuration /etc/ssl/openssl.cnf.

[system_default_sect] MinProtocol = TLSv1.2 CipherString = DEFAULT@SECLEVEL=2

Ainsi, afin de résoudre ce problème, il est nécessaire de renforcer les chiffrements côté backend et d’autoriser des chiffrements plus forts comme «ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-SHA384,ECDHE-RSA-AES256-SHA« . Veuillez vous assurer que ces chiffrements sont disponibles dans vos services sécurisés backends.

📄 Téléchargez ce document au format PDF #

    E-MAIL: *

    Sécurité accrue. Efforts réduits. Succès durable. Meilleurs Docs