有一朋友这样问到“dh是密钥协商交换用的,为什么只有在服务器上有dh.pem文件,而客户端里没有,我就不明白了,客户端与服务器都有rsa公私钥了,可以传输对称密钥了,为什么还需要dh算出对称密钥呢?”
我们先一下,打开×××的男人帮助是如何说dh选项的。
<强>——dh文件
文件包含Diffie赫尔曼参数.pem格式(仅要求——tls-server)。
设置文件=没有禁用Diffie赫尔曼密钥交换(只用ECDH)。注意,这需要使用SSL库同行支持(如ECDH TLS密码套件。OpenSSL 1.0.1 +,或mb TLS 2.0 +)。
使用openssl dhparam治疗dh3048。pem 2048生成2048位DH参数。Diffie赫尔曼参数可能被认为是公众。
1,使用阶段不同:DH用于TLS握手期间,RSA是用于数据通信阶段。
2,如果没有这个选项,启动打开×××服务器会出错选项错误:您必须定义DH文件(DH)
那么什么是diffie - hellman参数文件?
迪菲·赫尔曼密钥交换(diffie - hellman密钥交换,简称“d - h”)是一种安全协议。它可以让双方在完全没有对方任何预先信息的条件下通过不安全信道创建起一个密钥。这个密钥可以在后续的通讯中作为对称密钥来加密通讯内容。这个DH参数不是安全敏感的,所以只要在开放的×××服务器有一份就可以了,而且即使被第三方拿到了,也无所谓。
如果想深入一些,可以这样来理解:
1, RSA和DH都基于非对称算法。
2, RSA:常用的示例是爱丽丝向鲍勃发送消息,并使用鲍勃的公钥加密消息。向鲍勃发送消息。鲍勃用他的私钥解密。验证签名以确保爱丽丝发送签名。该消息将成为对称加密密钥。这是用于保护连接的内容。
3, DH Diffie赫尔曼交换依赖于生成秘密值的两个单独实体。通过一些数学算法,他们都能够产生共同的密钥值。这是一个对称密钥。
4,使用RSA,可以进行加密和签名的密钥对。使用DH,只执行加密,没有签名机制。
