https之DHE keys 大小修改

原创 2017年01月03日 10:02:29

修改Ephemeral Diffie-Hellman Keys大小

jdk.tls.ephemeralDHKeySize

可以修改jdk的jdk.tls.ephemeralDHKeySize=1024或者2048更高

如果是"服务器的瞬时Diffie-Hellman 公共密钥过弱"问题,还可以修改ssl的协议和密码套件(cipher suites)

参考http://www.ibm.com/support/knowledgecenter/SSYKE2_6.0.0/com.ibm.java.security.component.60.doc/security-component/jsse2Docs/customize_size_ephemeral.html


-------------------------------------下面是oracle关于DH keys介绍原文-----

http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#customizing_dh_keys

Customizing Size of Ephemeral Diffie-Hellman Keys

Diffie-Hellman (DH) keys of sizes less than 1024 bits have been deprecated because of their insufficient strength. In JDK 8, you can customize the ephemeral DH key size with the system property jdk.tls.ephemeralDHKeySize. This system property does not impact DH key sizes in ServerKeyExchange messages for exportable cipher suites. It impacts only the DHE_RSA, DHE_DSS, and DH_anon-based cipher suites in the JSSE Oracle provider.

You can specify one of the following values for this property:

  • Undefined: A DH key of size 1024 bits will be used always for non-exportable cipher suites. This is the default value for this property.
  • legacy: The JSSE Oracle provider preserves the legacy behavior (for example, using ephemeral DH keys of sizes 512 bits and 768 bits) of JDK 7 and earlier releases.
  • matched: For non-exportable anonymous cipher suites, the DH key size in ServerKeyExchange messages is 1024 bits. For X.509 certificate based authentication (of non-exportable cipher suites), the DH key size matching the corresponding authentication key is used, except that the size must be between 1024 bits and 2048 bits. For example, if the public key size of an authentication certificate is 2048 bits, then the ephemeral DH key size should be 2048 bits unless the cipher suite is exportable. This key sizing scheme keeps the cryptographic strength consistent between authentication keys and key-exchange keys.
  • A valid integer between 1024 and 2048, inclusively: A fixed ephemeral DH key size of the specified value, in bits, will be used for non-exportable cipher suites.

The following table summaries the minimum and maximum acceptable DH key sizes for each of the possible values for the system property jdk.tls.ephemeralDHKeySize:

Value ofjdk.tls.ephemeralDHKeySize Undefined legacy matched Integer value (fixed)
Exportable DH key size 512 512 512 512
Non-exportable anonymous cipher suites 1024 768 1024 The fixed key size is specified by a valid integer property value, which must be between 1024 and 2048, inclusively.
Authentication certificate 1024 768 The key size is the same as the authentication certificate, but must be between 1024 bits and 2048 bits, inclusively. However, the SunJCE provider only supports 2048-bit DH keys larger than 1024 bits. Consequently, you may use the values 1024 or 2048 only. The fixed key size is specified by a valid integer property value, which must be between 1024 and 2048, inclusively.
版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

tomcat8启动慢

tomcat8在linux下安装使用一段时间后启动非常慢,6分钟左右。 原因是一个随机数生成参数导致的。 处理如下: 修改catalina.sh .配置JRE使用非阻塞的Entropy Sou...

Java 加解密技术系列之 DH

序 上一篇文章中简单的介绍了一种非对称加密算法 — — RSA,今天这篇文章,继续介绍另一种非对称加密算法 — — DH。当然,可能有很多人对这种加密算法并不是很熟悉,不过没关系,希望今天这篇文章...

RSA密钥长度、明文长度和密文长度

本文介绍RSA加解密中必须考虑到的密钥长度、明文长度和密文长度问题,对第一次接触RSA的开发人员来说,RSA算是比较复杂的算法,天缘以后还会补充几篇RSA基础知识专题文章,用最简单最通俗的语言描述RS...

SSL通信中DH算法key长度问题

先做下名词解释和说明 客户端 B 服务端 S DH算法  迪菲赫尔曼算法 TLS   SSL协议的升级(建议将SSL协议升级到TLS1.0或者更高版本) 继续之前,建议一定先仔细看下SSL通信过程...

SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱

详细描述 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。S...

SSL证书生成全过程

建立私有CA签发证书。
  • F2004
  • F2004
  • 2015年05月19日 11:54
  • 3352

hadoop - hadoop2.6 伪分布式 - 全局配置 和 启用 YARN 进行任务调度与资源管理

1.全局配置                上面的学习中,我们都是先进入到 /usr/local/hadoop 目录中,再执行 sbin/hadoop,实际上等同于运行/usr/local/hado...

CentOS7上安装Hadoop2.0——单机模式/伪分布式模式 暨任务二

注意:本文步骤参考给力星的http://www.powerxing.com/install-hadoop-in-centos/的内容,实验结果均是本人真实实验的图片,仅用于记录和学习之用。一. 创建h...
  • xqclll
  • xqclll
  • 2016年12月06日 16:41
  • 1362

Eclipse背景颜色,字体大小,自定义格式化设置,自定义keys,自动注释,各大src源码下载,自定义注释

啊三分大赛阿斯顿阿斯顿asd

Linux_修改 ~/.ssh/authorized_keys 使Xshell可以通过ssh协议登录

今天博主遇到了个问题,使用xshell 登录虚拟机,之前的方式博主主要使用 用户名 与 密码的方式登录。 现在决定用ssh-key 这种省事省力的方式解决。 修改 ~/.ssh/au...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:https之DHE keys 大小修改
举报原因:
原因补充:

(最多只允许输入30个字)