<div dir="ltr">OpenSSL tells me that in the OpenSSL case, the generator of Your parameters is "2'", in the GnuTLS case it's <div><br><div><div>70:ef:09:c2:4b:4e:83:0a:36:a0:17:94:a2:cf:dc:</div><div>09:06:c4:4d:b0:19:3d:43:78:f1:54:e5:1e:0f:3e:</div>
<div>d9:af:b7:80:78:62:b1:42:1b:31:17:cc:08:e2:71:</div><div>ae:44:96:cb:45:40:c8:df:e4:6a:38:6f:0f:e4:d4:</div><div>65:9e:86:c5:4b:33:4e:6a:1c:93:4b:6c:e1:c7:58:</div><div>2c:a9:b6:2d:a7:73:7f:8f:dd:73:26:d6:4a:d2:ca:</div>
<div>93:be:47:23:48:7e:2c:85:bd:a7:a2:cb:29:ae:78:</div><div>0e:b5:03:03:f4:7f:38:32:55:fc:50:07:0b:ea:94:</div><div>c7:0e:04:81:40:06:f8:c4</div><div><br></div><div>which acccounts for the difference in length and runtime (and should also result in quite some difference in actual applications...)</div>
<div><br></div><div>regards</div><div>Manuel</div><div><br></div></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Nov 20, 2013 at 5:08 PM, Adi Kriegisch <span dir="ltr"><<a href="mailto:adi@kriegisch.at" target="_blank">adi@kriegisch.at</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi!<br>
<div class="im"><br>
> > >> ssl_parameters_regenerate = 168 # Value in hours, aka 168h ≈ 1w<br>
> > >> Does 24h sound reasonable? More or less?<br>
> > > For a typical server yes, for an embedded device no.<br>
> > Dovecot on embedded systems is a thing?<br>
><br>
> Firstly: does it really make sense to regularily regenerate dhparams<br>
> at all?<br>
</div>As you want your ephemeral keys to be mostly unique (especially for many<br>
sessions), yes, I think so.<br>
<div class="im"><br>
> Then, don't forget many people are running their (internet-facing)<br>
> home servers on power-efficient small boxes, such as ARM-based NASes<br>
> or raspberry pi.<br>
</div>Hmm... that doesn't do much harm, actually: one may genereate dhparams on<br>
any machine and then just copy them...<br>
<br>
btw. I have some strange behaviour when using gnutls's certtool: this<br>
commandline 'certtool --generate-dh-params --bits 1024' takes less than a<br>
second on my machine compared to openssl dhparams taking 20 seconds or<br>
more. (I run haveged if that has any influence on the issue).<br>
Is there some reasonable explanation for that?<br>
<br>
-- Adi<br>
<br>
PS: The output is different too (the length I mean); both 1024bit<br>
OpenSSL:<br>
-----BEGIN DH PARAMETERS-----<br>
MIGHAoGBAP76S+UdLQFJVqpg6lkfA3BAYwHu7ZQOnz3ZNY9x+AOhKfEmM3WHnsxY<br>
bEhx7aZqgkq7OaVX/Xl4BgYedghBeIZaDbj6fL8zaxy1pLQZqztVbDmrGQY6PByu<br>
M2NVGRMFNlthDhyYAF6jrXKjzITFHpak+sRsUWwDGfGVlbmfKRBzAgEC<br>
-----END DH PARAMETERS-----<br>
<br>
GNUTLS certtool:<br>
<br>
-----BEGIN DH PARAMETERS-----<br>
MIIBCwKBgQDoiTq1LrQs+ZMlMG6WHy/JgYZo6DX7H4yX0DjbG/v2S/qCnjNgVG0Q<br>
vsNCC0+DjwdrSzu3PuOsxXCYmtF9IbJGjsMpG+kN9z1unkX1hHGdqEtGZEs3Rs7A<br>
opuBNUaSixT29+n4WPklW1yzitSI0Pg2VrsjmfrpZPF5Muky5QwaKwKBgHDvCcJL<br>
ToMKNqAXlKLP3AkGxE2wGT1DePFU5R4PPtmvt4B4YrFCGzEXzAjica5ElstFQMjf<br>
5Go4bw/k1GWehsVLM05qHJNLbOHHWCypti2nc3+P3XMm1krSypO+RyNIfiyFvaei<br>
yymueA61AwP0fzgyVfxQBwvqlMcOBIFABvjEAgIAnw==<br>
-----END DH PARAMETERS-----<br>
<br>
How is that possible?<br>
<br>-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1.4.6 (GNU/Linux)<br>
<br>
iQIVAwUBUozd63REfA6phVy/AQL4vA/+Kis16s6gtynbGeeLCnbRMDzty6CxYZ8y<br>
YPrAykBXTVo4flxO995rZ9SX4q6hNxMNuaRLYWtXMtMaRjvMBrL5hnJ7TZ0t87R3<br>
Fs5xfmHYw3yTw3DxmHKrENUEaCCjCXZY5gB1MbP8Xc6j0cdvjGHbnVcmVpMxS9YH<br>
+bIt+bHkgb34iBCTzHQJ7pBP2KPhnyOwP0hUvgqgx0s11jULUsFREOQuXD3Q8850<br>
pHE4lndFLg04nO28KRvHBhYj+tl0bp8nN9iO0N4YD+IwEUshF/rfneoz4mIHzSGV<br>
JQQG0AKIZuJ3t1SJGZ+enpVV2WH6390blPWP/2/PlXXXh3Xh04vbkdLdnzcCi3b8<br>
TnTmBUC8r1D9P2rktRK+tBEovoKi11Nv1k7faHVVm+pzodjYZPG5tbUYhuVqrbaJ<br>
h4+qvlZ1NB8UIuG3aRgqHuZyDeP0G9HgnkmsYm/Z8ICCsJrRhZKjpzaO2W+sRhFg<br>
zG5Uiv2y52PtPl8/PKhsT57PAoJeO4jaI9qzfIlCPxjcQHN3TFKshbCeJnl0UIlH<br>
vmdv+sI3LpFsuQ+lynJYfgevKkV/N5AtGutctIsB474bv27BpxX7mrZS9V7PzOBt<br>
b+9Sd92k/vV5Q30YrmUaQQohWSwIYFDqQv9aviXF2kxdCnoA7FrQovXx82gj2Pcm<br>
tfanuliUBuQ=<br>
=6qTF<br>
-----END PGP SIGNATURE-----<br>
<br>_______________________________________________<br>
Ach mailing list<br>
<a href="mailto:Ach@lists.cert.at">Ach@lists.cert.at</a><br>
<a href="http://lists.cert.at/cgi-bin/mailman/listinfo/ach" target="_blank">http://lists.cert.at/cgi-bin/mailman/listinfo/ach</a><br>
<br></blockquote></div><br></div>