Proseguiamo con un altro articolo della serie dedicata ai programmi di ausilio alla gestione della suite di protocolli TLS/SSL (Transport Layer Security/Secure Socket Layer), fondamentali per la sicurezza dei servizi di rete per la capacità di fornire connessioni protette sia in termini di verifica del corretto corrispondente, che di riservatatezza dei dati inviati.
Esamineremo questa volta una configurazione utilizzata per migliorare la sicurezza nell’uso di TLS/SSL, ed in particolare per la robustezza della Perfect Forward Security (la possibilità cioè di non poter decifrare l’eventuale traffico registrato in precedenza, anche quando un attacante venisse in possesso delle chiavi di cifratura) è importante usare un parametro di Diffie-Hellman di dimensioni opportune.
Il default usato è in genere di 1024 bit, che non è più considerato molto sicuro. In molti programmi è comunque possibile utilizzare un parametro di dimensioni maggiori (2048 o 4096 bit), basta fornire un file con il relativo contenuto.
Un elenco delle direttive di configurazione di vari servizi che consentono di indicarlo è riportato nella tabella seguente:
| Server | Direttiva |
| OpenVPN | dh /path/dhparam.pem |
| nginx | ssl_dhparam /path/dhparam.pem |
| Apache (>2.4.7) | SSLOpenSSLConfCmd DHParameters /path/dhparam.pem |
| Postfix | smtpd_tls_dh1024_param_file =/path/dhparam.pem |
| Dovecot | ssl_dh /path/dhparam.pem |
Dato che la sua creazione richiede una notevole quantità di numeri casuali, che sono generati dal kernel raccogliendo progressivamente il “rumore” degli eventi di sistema, ottenere un paramentro di Diffie-Hellman è una operazione che può risultare molto lenta, specialmente se fatta su un server remoto, dove non si possono usare tecniche come quelle di premere tasti a caso sulla console per velocizzare la generazione dei numeri casuali necessari.
Farlo su una connessione remota infatti non servirebbe, in quanto, per motivi di sicurezza, gli eventi provenienti dalla rete non vengono presi in considerazione dal kernel nella generazione di numeri casuali. Anche per questo è molto più semplice creare il parametro di Diffie-Hellman localmente, dove si può utilizzare questo trucco, e poi spostarlo a destinazione
Il comando che consente di creare un parametro di Diffie-Hellman è sempre openssl con il sottocomando dhparam, e si potrà ottenere un file con il parametro nella dimensione voluta (indicata in bit dall’ultimo argomento), eseguendo:
openssl dhparam -out dhparam.pem 2048
ed una volta terminata l’esecuzione sarà sufficiente poi copiare dhparam.pem a destinazione.
Si tenga presente che un parametro di dimensione maggiore, oltre ad un
tempo molto più lungo per la creazione, richiederà anche più
risorse (CPU e tempo di esecuzione) nell’uso per la gestione delle connessioni una volta installato; pertanto se oggi il minimo consigliato per la dimensione è di 2048 bit, non vale comunque la pena andare oltre i 4096 bit.
Speriamo che con queste brevi ma sostanziali indicazioni, sia più chiaro a tutti voi come impostare correttamente un parametro di Diffie-Hellman correttamente.
Per qualsiasi ulteriore consiglio o informazione, non esitate a contattarci al nostro form di contatti Contatti – Not Just A Cloud .
La redazione