概要 #

ディフィー・ヘルマン鍵交換 (DH) 安全でないチャネルを介して接続された 2 台のマシン間で秘密鍵を生成する方法です。

クライアントがセキュリティ保護された Web サービスへの接続を開始すると、SSL ネゴシエーションが発生して公開鍵が交換され、その後、通信中に使用される鍵と暗号に関して両者が合意します。

In このイラスト ネゴシエーションが色でどのように動作するかは完璧に説明されています。両方の通信ノードによって計算された大きな乱数でどのように動作するか想像してみてください。

 

ロードバランサーでの使用方法 #

ロード バランサは、SSL オフロード操作を実行するときに、次の形式で SSL サービスを作成します。

Zen Load Balancerは OpenSSLの ツール付き ドパラム Diffie-Hellmanキーを生成するためのオプション。オプションの詳細については、こちらをご覧ください。 こちら.

SSLオフロードファーム（Zen Load Balancer の HTTPS リスナーを使用した HTTP プロファイル) 堅牢なキー生成を確実に行うには、次のベストプラクティスに従って Diffie-Hellman キーを生成する必要があります。

1. 最小キー長は 2048 ビットです。長さが長くなるほど、妥当な時間内に復号化するのが難しくなります。
2. 複数の SSL サービスの通信を遮断することをより困難にし、各ファームのセキュリティを分離するために、SSL ファームごとに 1 つの DH キーを使用します。
3. ランダム生成の予測可能性が低いということは、通信を切断するのがより困難であることを意味します。

Diffie-Hellman キーの生成は、乱数生成に時間がかかりすぎるため、通常は計算コストのかかるプロセスですが、これにより SSL サービスのセキュリティが保証されます。

 

参考情報 #

https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange
http://mathworld.wolfram.com/Diffie-HellmanProtocol.html