Aumenta la sicurezza della connessione se rigenero periodicamente i file dhparam utilizzati con NGINX sui nostri server, ad es. ogni settimana?
Quali problemi possono sorgere da questo?
C'è qualche vantaggio in questo?
Does it increase connection security if I regenerate the dhparam files used with NGINX on our servers periodically e.g. every week?
No, non in modo significativo.
I parametri DH sono in realtà solo un grande numero elevato che richiede molto tempo per essere generato (perché deve essere un primo sicuro ). Inoltre c'è un cosiddetto "generatore", ma questo è economico da generare.
Al momento è impossibile interrompere una connessione DH negoziata con un primo sicuro sicuro a 2048 bit o più lungo. Quindi se rigeneri il tuo primo sicuro ogni settimana non guadagni ulteriore sicurezza oltre "indistruttibile". Tuttavia questo non dovrebbe essere confuso con la generazione dei propri parametri (forti) una volta. Questo per rendere un attacco su scala Internet Logjam molto più difficile, ma come ho già detto è opzionale come parametri non può essere rotto comunque.
What issues may arise from this?
Più carico di calcolo. Generare i parametri è probabilmente uno dei calcoli crittografici più intensi che incontrerai.
Is there any benefit in doing this?
Ottieni qualcosa come "super-forward-secret". Con Effie-Hellman effimero, l'attaccante ha bisogno di rompere ogni connessione individualmente per recuperare i testi in chiaro. Il carico per connessione può essere ridotto quando si applica il trucco Logjam di eseguire un gigantesco pre-computazione per i parametri e solo l'ultimo passaggio per ciascuna connessione. Se modifichi i parametri regolarmente, limita l'impatto che potrebbe avere un attacco in stile Logjam. Tuttavia, l'esecuzione dell'algoritmo richiesto per Logjam non è fattibile per i parametri DH che utilizzano i primi lunghi (ad esempio 2048 bit o più).