<div dir="ltr">Hello,<div><br></div><div>Pinging again to try and get a response.</div><div><br></div><div>Thanks for your time,</div><div><br></div><div>Ethan</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Oct 27, 2015 at 3:35 PM, Ethan Rahn <span dir="ltr"><<a href="mailto:ethan.rahn@gmail.com" target="_blank">ethan.rahn@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello,<div><br></div><div>I'm trying to understand the tradeoffs of using "-dsaparam" in the openssl "dhparam" command. I know that it won't create a <a href="https://en.wikipedia.org/wiki/Strong_prime" target="_blank">strong prime</a>, but I'm not understanding the tradeoffs with that very well. The wikipedia page says that primes with the strong property are not considered necessary by some cryptography experts, but I don't know what the tradeoffs of using "-dsaparam" are. Please note this is being used for a ( nginx-based ) SSL server if that helps provide context.</div><div><br></div><div>I know that it is much faster. For generating a 2048-bit diffie-hellman parameter using "-dsaparam" takes ~10 seconds vs. ~30 minutes for the strong prime defaults on the server I'm testing it on.</div><div><br></div><div>The downside is not very clear to me however. I know the man pages say "DH parameter generation with the -dsaparam option is much faster, and the recommended exponent length is shorter, which makes DH key exchange more efficient. Beware that with such DSA-style DH parameters, a fresh DH key should be created for each use to avoid small-subgroup attacks that may be possible otherwise." This isn't clear to me if each connection the SSL server makes should use a different dsaparam based dhparam? Is there another meaning here?</div><div><br></div><div>Any clarifications on what I should beware of when using -dsaparam and what a "new use" is when knowing when to make fresh dh keys would be very appreciated.</div><div><br></div><div>Thanks,</div><div><br></div><div>Ethan</div></div>
</blockquote></div><br></div>