ECDHE-ECDSA Ciphersuites im OpenLDAP nutzen

Crest

rm -rf /*
Mein Ziel ist es ECDHE-ECDSA Ciphersuites mit OpenLDAP zu verwenden um die Latenz zu reduzieren. Derzeit sind alle Server und Clients FreeBSD 9.1 Systeme mit OpenSSL 1.0.1e aus den Ports.

So habe ich die CA erstellt.
Code:
openssl ecparam -out ca-key.pem -name secp521r1 -genkey
openssl req -new -x509 -days 3650 -key ca-key.pem -out ca-cert.pem

openssl ecparam -out private/auth1-key.pem -name secp521r1 -genkey
openssl req -new -key private/auth1-key.pem -out newcerts/auth1-csr.pem
openssl ca -config /usr/local/openssl/openssl.cnf -out certs/auth1-cert.pem -infiles newcerts/auth1-csr.pem
# Repeat for other certs

Mit openssl s_server/s_client lassen sich die Certs auch für ECDHE-ECDSA-AES256-GCM-SHA384 verwenden. Mit OpenLDAP funktionieren ECDHE-ECDSA verwenden Modi jedoch nicht. ECDH-ECDSA funktioniert zwar bietet aber keine Folgenlosigkeit (PFS).

Hat von euch noch jemand ne Idee woran es liegen kann?
 
Zuletzt bearbeitet:
Mein Ziel ist es ECDHE-ECDSA Ciphersuites mit OpenLDAP zu verwenden um die Latenz zu reduzieren. (...) Mit OpenLDAP funktionieren ECDHE-ECDSA verwenden Modi jedoch nicht. ECDH-ECDSA funktioniert zwar bietet aber keine Folgenlosigkeit (PFS).
Nur daß ich das richtig verstehe: Deine EC-Schlüssel funktionieren halbwegs mit OpenLDAP, hins. Authentifizierung usw., nur daß Dich die Software an irgendeiner Stelle darauf hinweist, daß Folgenlosigkeit nicht garantiert werden kann. Richtig? Ich kenne das Konzept der Folgenlosigkeit bisher nur von jenen Off-the-record-Erweiterungen gängiger Instant-messaging-Systeme wie Jabber, SIP, MSN usw. Vielleicht könntest Du dort mal Deine EC-Schlüssel ausprobieren, um sicherzustellen, daß der Fehler wirklich bei OpenLDAP liegt!?
Noch ein Gedanke: DSA (und wohl auch ECDSA) sind reine Signaturschlüssel, wie Yamagi mir neulich erklärte. Vielleicht benötigt der zugrundeliegende Formalismus definitiv einen RSA-Schlüssel, also einen, mit dem man nicht nur signieren, sondern auch verschlüsseln kann. Was hast Du denn bisher verwendet? RSA? Dann könntest Du mal einen Test machen mit DSA (nicht EC) in OpenLDAP.
 
Ich habe das Problem weiter bearbeitet. Es stellte sich raus DHE und ECDHE brauchen Callbacks um die temporären Keys zu erzeugen. OpenLDAP registriert nur einen Callback für DHE und keinen für ECDHE. Ich habe ein Ticket eröffnet. Mal sehen. Meinen Patch halte ich für nicht releasefähig.
 
Zurück
Oben