Was ist ein DH-Schlüssel? #

Ein Diffie-Hellman-Schlüssel (DH) ist ein kryptografisches Verfahren zum sicheren Austausch geheimer Schlüssel über ein nicht vertrauenswürdiges Netzwerk. Es ermöglicht zwei Parteien, unabhängig voneinander öffentliche und private Schlüsselpaare zu generieren, ihre öffentlichen Schlüssel zu teilen und einen gemeinsamen geheimen Schlüssel abzuleiten, ohne ihre privaten Schlüssel zu übertragen. Dieser gemeinsame geheime Schlüssel kann dann zur Verschlüsselung verwendet werden und gewährleistet so die Vertraulichkeit und Integrität der Kommunikation zwischen den beiden Parteien. Der DH-Schlüsselaustausch ist ein grundlegender Bestandteil sicherer Kommunikationsprotokolle wie SSL/TLS, SSH und VPNs. Er bietet Schutz vor Abhören und gewährleistet eine sichere Datenübertragung.

Was ist ein ECDHE-Schlüssel? #

ECDHE hingegen (Elliptic Curve Diffie-Hellman Ephemeral) ist ein kryptografisches Schlüsselaustauschverfahren, das in sicheren Kommunikationsprotokollen wie SSL/TLS zum Einsatz kommt, um eine sichere und effiziente Verbindung zwischen zwei Parteien herzustellen. Es nutzt die Elliptische-Kurven-Kryptografie für den sicheren Austausch von Verschlüsselungsschlüsseln. ECDHE bietet Perfect Forward Secrecy, indem es für jede Sitzung flüchtige Schlüsselpaare generiert. So wird sichergestellt, dass selbst wenn der Schlüssel einer Sitzung kompromittiert wird, die Sicherheit anderer Sitzungen nicht gefährdet wird. Diese Methode bietet ein hohes Maß an Sicherheit bei kürzeren Schlüssellängen, ist dadurch rechnerisch effizient und eignet sich gut für verschiedene Anwendungen, darunter sicheres Surfen im Internet und E-Mail-Verschlüsselung.

Schritte zum Analysieren des Fehlers „DH-Schlüssel zu klein“ #

Die Analyse des Fehlers „DH-Schlüssel zu klein“ tritt typischerweise im Zusammenhang mit kryptografischen Protokollen wie SSL/TLS oder SSH auf und bezieht sich auf die Verwendung schwacher oder unzureichender Diffie-Hellman-Schlüsselgrößen für den sicheren Schlüsselaustausch. Sehen wir uns die Protokollmeldungen in RELIANOID Lastenausgleicher.

Jul 27 17:43:20 noid-ee-01 Pfund: MyHTTPfarm, BIO_do_handshake mit :443 fehlgeschlagen: Fehler:141A318A:SSL-Routinen:tls_process_ske_dhe:dh-Schlüssel zu klein

Der Fehler „DH-Schlüssel zu klein“ wird beim Verbinden mit einem bestimmten Backend erkannt. Wir können die SSL-Verbindung mit folgendem Befehl testen:

root@noid-ee-01:~# openssl s_client -connect :443 -Servername  | grep Temp [...] Temp-Schlüssel des Servers: [...]

Die Temporärer Serverschlüssel sollte für einen gut gesicherten Dienst 2048 Bit betragen. Wenn also die Leistung des Backend-DH-Schlüssels zu niedrig ist, wird diese Fehlermeldung „DH-Schlüssel zu klein“ angezeigt.

Standardmäßig erlaubt die OpenSSL-Konfiguration im Load Balancer mindestens TLSv1.2 und einen SECLEVEL von 2. Dies ist in der Konfigurationsdatei definiert /etc/ssl/openssl.cnf.

[system_default_sect] MinProtocol = TLSv1.2 CipherString = DEFAULT@SECLEVEL=2

Um dieses Problem zu beheben, müssen die Chiffren im Backend verstärkt werden und stärkere Chiffren wie „ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-SHA384,ECDHE-RSA-AES256-SHA„. Bitte stellen Sie sicher, dass solche Chiffren in den gesicherten Diensten Ihres Backends verfügbar sind.