概要
Diffie-Hellmanキー交換(DH) 安全でないチャネルを介して接続された2台のマシン間で秘密鍵を生成する方法です。
クライアントが保護されたWebサービスへの接続を開始すると、公開鍵を交換してSSLネゴシエーションが行われ、その後、通信中に使用される鍵と暗号に関して2者が合意します。
In このイラスト 交渉が色でどう振る舞うかについて完全に説明されます。 両方の通信ノードで計算された大きな乱数に対してどのように機能するかを想像してください。
ロードバランサーでの使用方法
ロードバランサは、SSLオフロード操作を実行するときに、次の形式でSSLサービスを作成します。
Zenロードバランサーは OpenSSLの とツール ドパラム Diffie-Hellman鍵を生成するためのオプション。 フルオプションについてもっと読む こちらから.
SSLオフロードファームを作成するためには(Zen Load BalancerのHTTPSリスナーを使用したHTTPプロファイル)堅牢なキー生成を保証するには、次のグッドプラクティスを使用してDiffie-Hellmanキーを生成する必要があります。
1. 2048ビットの最小鍵長。 長さが長いほど、妥当な時間内に復号化するのが難しくなります。
2. 複数のSSLサービスの通信を遮断し、すべてのファームのセキュリティを分離することをより困難にするために、SSLファームごとに1つのDHキー。
3. ランダム生成で予測できないほど、コミュニケーションを中断することが難しくなります。
乱数の生成には時間がかかりすぎるため、Diffie-Hellman鍵の生成には通常、計算コストがかかるプロセスですが、これにより当社のSSLサービスのセキュリティが保証されます。
リファレンス
https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange
http://mathworld.wolfram.com/Diffie-HellmanProtocol.html