&pagelevel(4)&pagelevel
Verschlüsselungs-Suiten mit Diffie-Hellman-Schlüsselvereinbarung benötigen bei ihrer Verwendung auf der TLS-Server-Seite so genannte DH-Parametersätze.
Der BS2000-FTP-Server wird mit einem festen 2048-Bit DH-Parametersatz ausgeliefert. Die Länge von 2048 Bit erscheint im Augenblick als ein vernünftiger Kompromiss zwischen Sicherheit und CPU-Ressourcen-Bedarf.
Die Prozedur GEN.DHPARAM ermöglicht es dem FTP-Server-Betreiber, von der Länge von 2048 Bit nach oben oder unten abzuweichen oder einen eigenen DH-Parametersatz zu generieren. Dabei sollte man aus Sicherheitsgründen keine Parametersätze mit weniger als 1024 Bit verwenden. Umgekehrt muss man sich bewusst sein, dass z.B. ein 4096 Bit DH-Parametersatz den TLS-Handshake und damit die Login-Zeit und den CPU-Ressourcen-Verbrauch drastisch erhöhen kann.
Parameter
SIZE
Dieser Parameter ist ein Maß für die Größe eines DH-Parametersatzes. Je größer diese ist, umso höher ist die Sicherheit, aber umso höher ist auch der CPU-Ressourcen-Verbrauch für die Generierung und insbesondere für die Nutzung des Parametersatzes. Die Vorbelegung des Parameters ist 2048.
G
Dies ist der sogenannte Generator-Wert. Soweit man nicht gute Gründe und entsprechendes Wissen hat, sollte man ihn beim Vorbelegungswert 2 belassen.
PARAMFILE
Dieser Parameter gibt die Datei an, in der der DH-Parametersatz abgelegt werden soll. Die Vorbelegung ist SYSDAT.TCP-IP-AP.nnn.DHPARAM.
Prozedurablauf
Nach dem Start läuft die Prozedur ohne weitere Benutzerinteraktion bis zum Ende durch. Die Laufzeit kann dabei je nach gewähltem SIZE-Parameter, nach verfügbarer Systemleistung und nach den vom PRNGD-Subsystem erhaltenen Zufallszahlen im Bereich von Minuten bis Stunden liegen. Die Aktivität des Generierungsprogramms wird dabei durch fortlaufende Ausgabe der Zeichen '.', '+' und '*‘ angezeigt.
Beispiel
/CALL-PROCEDURE $.SYSSPR.TCP-IP-AP.nnn(GEN.DHPARAM),(SIZE=1024)
DH Parameter Set Generation Utility.
Copyright (c) [...] Fujitsu Technology Solutions, All Rights Reserved
Generate DH parameter set.
--------------------------------------------------------------------
% BLS0523 ELEMENT 'OPENSSL' [...]
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time..............+...............................
.................................................................+.............
............................................................+..................
........................................................................+......
...+.....+.....................................................................
...............+.......................+........................+..............
......................+..........................................+............+
............+................+.......................+.........................
................................................+..............................
...................................................................+...........
...................................................................+...........
...................+..................+.....................................+..
..................................................+............................
...................+....................+......................................
.............+...................+.............................................
.+.............................................................................
.................................+.......+.....+........+......................
...................................................+...........................
..+..+.........................................................................
........+..........................+............................+..............
............................+....................+.............................
....................................................................+..........
.+...+.........................................+.......................+......+
..++*++*++*
|
In der Optionsdatei des FTP-Servers kann diese DH-Parameterdatei dann mit der Option -tlsDHparamFile angegeben werden:
-tlsDHparamFile $.SYSDAT.TCP-IP-AP.nnn.DHPARAM
