如何在Java SSLEngine中设置自定义DH组以防止Logjam攻击? [英] How to set custom DH group in Java SSLEngine to prevent Logjam attack?

查看:113
本文介绍了如何在Java SSLEngine中设置自定义DH组以防止Logjam攻击?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!

问题描述

对TLS的新Logjam攻击基于常见的DH组。 此链接建议为每台服务器生成一个新的自定义2048位DH组。

The new Logjam attack on TLS is based on common DH groups. This link recommends generating a new, custom 2048-bit DH group for each server.

如何在使用SSLEngine的Java服务器代码中设置自定义DH组?

How can I set a custom DH group in Java server code which uses SSLEngine?

ETA:如果我只使用短暂的DH密码套件,我会安全吗?即DHE或ECDHE而不是DH或ECDH的名字?或者这是不相关的吗?

ETA: would I be safe if I used only ephemeral DH cipher suites, i.e. ones with DHE or ECDHE and not DH or ECDH in their name? Or is this unrelated?

推荐答案

Java(JCE / JSSE)使用来自某些众所周知的DSA小组 。 JCE参数生成器仅允许生成大小介于512和1024位(或2048)之间的组,但另一方的JSSE实现仅接受1024和2048之间的自定义大小。

Java (JCE/JSSE) uses DH parameters from some well known DSA groups. The JCE parameter generator allows only to produce groups with sizes between 512 and 1024 bit (or 2048), but the JSSE implementation on the other side only accepts custom sizes between 1024 and 2048.

这有影响你不能使用任何自定义大小,只有1024或2048(使用Java 8)。请记住,Java 7仍然只使用768位作为服务器(或512可导出加密模式)。

This has the affect you cannot use any of the custom sizes, only 1024 or 2048 (with Java 8). Keep in mind that Java 7 still only uses 768 bit as a server (or 512 in exportable crypto mode).

从版本8开始Java服务器默认使用1024位。您可以使用 jdk.tls.ephemeralDHKeySize = 2048 将服务器端增加到2048位。请参阅自定义临时DH密钥的大小

Starting with version 8 Java servers use by default 1024 bit. You can increase the server side to 2048 bit with jdk.tls.ephemeralDHKeySize=2048. See Customizing Size of Ephemeral DH Keys.

Java作为TLS客户端在旧版本中不那么严格,并接受不安全的组。

Java as TLS client is less strict in older versions and accepts unsafe groups.

更新:使用OpenJDK 8U65(JSSE),有一个安全属性 jdk.tls.server.defaultDHEParameters ,它可以定义finit-field参数。

Update: with OpenJDK 8U65 (JSSE) there is a security property jdk.tls.server.defaultDHEParameters which can define finit-field parameters.

这篇关于如何在Java SSLEngine中设置自定义DH组以防止Logjam攻击?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!

查看全文
相关文章
Java开发最新文章
热门教程
热门工具
登录 关闭
扫码关注1秒登录
发送“验证码”获取 | 15天全站免登陆