Remove From My Forums

SSL -> minimale Schlüssellänge für Diffie-Hellman auf 2048 setzen

Frage
0

Anmelden

Gibt es irgend einen Weg um die minimale Schlüssellänge für Diffie-Hellman auf 2048 zu setzen für's SSL des IIS/HTTP Server API ??

Rudolf

Mittwoch, 10. Februar 2016 00:26

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Moin,

in diesem Artikel wird das grundsätzliche Vorgehen zur Auswahl der Kryptografiemodule beschrieben:

https://www.petri.com/cipher-best-practice-configure-iis-ssl-tls-protocol

Es gibt auch ein kleines GUI Tool names IISCrypto dafür:

https://www.nartac.com/Products/IISCrypto/
This posting is provided AS IS with no warranties.

Mittwoch, 10. Februar 2016 06:15

Antworten

|

Zitieren
0

Anmelden

Moin,

in diesem Artikel wird das grundsätzliche Vorgehen zur Auswahl der Kryptografiemodule beschrieben:

https://www.petri.com/cipher-best-practice-configure-iis-ssl-tls-protocol

Es gibt auch ein kleines GUI Tool names IISCrypto dafür:

https://www.nartac.com/Products/IISCrypto/

This posting is provided AS IS with no warranties.

Danke, kenne ich schon... damit lässt sich alles abschalten (also DH), aber nicht die minimale Schlüssellänge konfigurieren. Und abschalten will ich's nicht...

Rudolf

Mittwoch, 10. Februar 2016 09:53

Antworten

|

Zitieren
0

Anmelden

Du musst die gewünschten Chipher Suites aktivieren bzw. die unerwünschten deaktivieren.

AFAIK wird bei ECC eher von einem Schlüssellängen-Äquivalent gesprochen.

ECDHE P-224 (224 bit Primzahl) entspricht einer RSA Schlüssellänge von 2048

ECDHE P-256 (256 bit Primzahl) entspricht einer RSA Schlüssellänge von 3072

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf

Seite 28 ff
This posting is provided AS IS with no warranties.

Mittwoch, 10. Februar 2016 11:31

Antworten

|

Zitieren
0

Anmelden

Du musst die gewünschten Chipher Suites aktivieren bzw. die unerwünschten deaktivieren.

AFAIK wird bei ECC eher von einem Schlüssellängen-Äquivalent gesprochen.

ECDHE P-224 (224 bit Primzahl) entspricht einer RSA Schlüssellänge von 2048

ECDHE P-256 (256 bit Primzahl) entspricht einer RSA Schlüssellänge von 3072

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf

Seite 28 ff

This posting is provided AS IS with no warranties.

ECDHE = Elliptic Curve DH ... ich will aber DH mit >= 2048 Bit und nicht ECDH ... daher kann ich DH nicht deaktivieren... und ich kann nicht einfach das ganze DH deaktivieren, weil sonst einige Clients ein Problem haben könnten. Ich will nur DH < 2048 verbieten...

Mittwoch, 10. Februar 2016 12:42

Antworten

|

Zitieren
1

Anmelden

Wenn Du TLS_DHE_DSS.. nutzen möchtest bzw. musst hast Du beim IIS pech. Da werden maximal 1024 bit unterstützt.

https://en.wikipedia.org/wiki/Comparison_of_TLS_implementations#Key_exchange_algorithms_.28certificate-only.29
This posting is provided AS IS with no warranties.

Mittwoch, 10. Februar 2016 18:04

Antworten

|

Zitieren