openssl dhparam,dhparam
openssl dhparam,dhparam
openssl dhparam用于生成和管理dh文件。dh(Diffie-Hellman)是著名的密钥交换协议,或称为密钥协商协议,它可以保证通信双方安全地交换密钥。但注意,它不是加密算法,所以不提供加密功能,仅仅只是保护密钥交换的过程。在openvpn中就使用了该交换协议。
openssl dhparam命令集合了老版本的openssl dh和openssl gendh,后两者可能已经失效了,即使存在也仅表示未来另有用途。
openssl dhparam [-in filename] [-out filename] [-dsaparam] [-noout] [-text] [-rand file(s)] [numbits]
选项说明:
-in filename:从filename文件中读取密钥交换协议参数。
-out filename:输出密钥交换协议参数到filename文件。
-dsaparam:指定此选项将使用dsa交换协议替代dh交换协议。虽然生成速度更快,但更不安全。
-noout:禁止输出任何信息。
-text:以文本格式输出dh协议。
-rand:指定随机数种子文件。
numbits:指定生成的长度。
注意,dh协议文件生成速度随长度增长而急剧增长,使用随机数种子可以加快生成速度。
例如:生成1024长度的交换协议文件,其消耗的时间2秒不到。
[root@xuexi tmp]# time openssl dhparam -out dh.pem 1024 Generating DH parameters, 1024 bit long safe prime, generator 2 This is going to take a long time ..........+.................................................+....................+..+.................................+.........+..................+.............................................+
...................................................................................................+..................................+............+...................+................+..........
.........................................................................................................................................................................................+.........
................................................................................................................................................+.............................................+....
........................................+......................+.......................++*++*++* real 0m1.762s user 0m1.608s sys 0m0.017s
但生成长度2048的交换协议文件用了4分多钟,可见长度增长会导致协议生成的时间急剧增长。
[root@xuexi ~]# time openssl dhparam -out dh.pem 2048 ......... ......... real 4m36.606s user 4m14.404s sys 0m0.538s
而使用了64位随机数种子的同样命令只需50秒钟。
[root@xuexi tmp]# time openssl dhparam -rand rand.seed -out dh.pem 2048 ......... ......... real 0m50.264s user 0m46.039s sys 0m0.104s
openssl命令实现的是各种算法和加密功能,它的cpu的使用率会非常高,再结合dhparam,可以使得openssl dhparam作为一个不错的cpu压力测试工具,并且可以长时间飙高cpu使用率。
回到openssl系列文章大纲:http://www.cnblogs.com/f-ck-need-u/p/7048359.html
评论暂时关闭