crypto/openssl/doc/ssl/SSL_CTX_set_tmp_dh_callback.pod

   1 =pod
   2
   3 =head1 NAME
   4
   5 SSL_CTX_set_tmp_dh_callback, SSL_CTX_set_tmp_dh, SSL_set_tmp_dh_callback, SSL_set_tmp_dh - handle DH keys for ephemeral key exchange
   6
   7 =head1 SYNOPSIS
   8
   9  #include <openssl/ssl.h>
  10
  11  void SSL_CTX_set_tmp_dh_callback(SSL_CTX *ctx,
  12             DH *(*tmp_dh_callback)(SSL *ssl, int is_export, int keylength));
  13  long SSL_CTX_set_tmp_dh(SSL_CTX *ctx, DH *dh);
  14
  15  void SSL_set_tmp_dh_callback(SSL *ctx,
  16             DH *(*tmp_dh_callback)(SSL *ssl, int is_export, int keylength));
  17  long SSL_set_tmp_dh(SSL *ssl, DH *dh)
  18
  19 =head1 DESCRIPTION
  20
  21 SSL_CTX_set_tmp_dh_callback() sets the callback function for B<ctx> to be
  22 used when a DH parameters are required to B<tmp_dh_callback>.
  23 The callback is inherited by all B<ssl> objects created from B<ctx>.
  24
  25 SSL_CTX_set_tmp_dh() sets DH parameters to be used to be B<dh>.
  26 The key is inherited by all B<ssl> objects created from B<ctx>.
  27
  28 SSL_set_tmp_dh_callback() sets the callback only for B<ssl>.
  29
  30 SSL_set_tmp_dh() sets the parameters only for B<ssl>.
  31
  32 These functions apply to SSL/TLS servers only.
  33
  34 =head1 NOTES
  35
  36 When using a cipher with RSA authentication, an ephemeral DH key exchange
  37 can take place. Ciphers with DSA keys always use ephemeral DH keys as well.
  38 In these cases, the session data are negotiated using the
  39 ephemeral/temporary DH key and the key supplied and certified
  40 by the certificate chain is only used for signing.
  41 Anonymous ciphers (without a permanent server key) also use ephemeral DH keys.
  42
  43 Using ephemeral DH key exchange yields forward secrecy, as the connection
  44 can only be decrypted, when the DH key is known. By generating a temporary
  45 DH key inside the server application that is lost when the application
  46 is left, it becomes impossible for an attacker to decrypt past sessions,
  47 even if he gets hold of the normal (certified) key, as this key was
  48 only used for signing.
  49
  50 In order to perform a DH key exchange the server must use a DH group
  51 (DH parameters) and generate a DH key.
  52 The server will always generate a new DH key during the negotiation
  53 if either the DH parameters are supplied via callback or the
  54 SSL_OP_SINGLE_DH_USE option of SSL_CTX_set_options(3) is set (or both).
  55 It will  immediately create a DH key if DH parameters are supplied via
  56 SSL_CTX_set_tmp_dh() and SSL_OP_SINGLE_DH_USE is not set.
  57 In this case,
  58 it may happen that a key is generated on initialization without later
  59 being needed, while on the other hand the computer time during the
  60 negotiation is being saved.
  61
  62 If "strong" primes were used to generate the DH parameters, it is not strictly
  63 necessary to generate a new key for each handshake but it does improve forward
  64 secrecy. If it is not assured, that "strong" primes were used (see especially
  65 the section about DSA parameters below), SSL_OP_SINGLE_DH_USE must be used
  66 in order to prevent small subgroup attacks. Always using SSL_OP_SINGLE_DH_USE
  67 has an impact on the computer time needed during negotiation, but it is not
  68 very large, so application authors/users should consider to always enable
  69 this option.
  70
  71 As generating DH parameters is extremely time consuming, an application
  72 should not generate the parameters on the fly but supply the parameters.
  73 DH parameters can be reused, as the actual key is newly generated during
  74 the negotiation. The risk in reusing DH parameters is that an attacker
  75 may specialize on a very often used DH group. Applications should therefore
  76 generate their own DH parameters during the installation process using the
  77 openssl L<dhparam(1)|dhparam(1)> application. In order to reduce the computer
  78 time needed for this generation, it is possible to use DSA parameters
  79 instead (see L<dhparam(1)|dhparam(1)>), but in this case SSL_OP_SINGLE_DH_USE
  80 is mandatory.
  81
  82 Application authors may compile in DH parameters. Files dh512.pem,
  83 dh1024.pem, dh2048.pem, and dh4096.pem in the 'apps' directory of current
  84 version of the OpenSSL distribution contain the 'SKIP' DH parameters,
  85 which use safe primes and were generated verifiably pseudo-randomly.
  86 These files can be converted into C code using the B<-C> option of the
  87 L<dhparam(1)|dhparam(1)> application.
  88 Authors may also generate their own set of parameters using
  89 L<dhparam(1)|dhparam(1)>, but a user may not be sure how the parameters were
  90 generated. The generation of DH parameters during installation is therefore
  91 recommended.
  92
  93 An application may either directly specify the DH parameters or
  94 can supply the DH parameters via a callback function. The callback approach
  95 has the advantage, that the callback may supply DH parameters for different
  96 key lengths.
  97
  98 The B<tmp_dh_callback> is called with the B<keylength> needed and
  99 the B<is_export> information. The B<is_export> flag is set, when the
 100 ephemeral DH key exchange is performed with an export cipher.
 101
 102 =head1 EXAMPLES
 103
 104 Handle DH parameters for key lengths of 512 and 1024 bits. (Error handling
 105 partly left out.)
 106
 107  ...
 108  /* Set up ephemeral DH stuff */
 109  DH *dh_512 = NULL;
 110  DH *dh_1024 = NULL;
 111  FILE *paramfile;
 112
 113  ...
 114  /* "openssl dhparam -out dh_param_512.pem -2 512" */
 115  paramfile = fopen("dh_param_512.pem", "r");
 116  if (paramfile) {
 117    dh_512 = PEM_read_DHparams(paramfile, NULL, NULL, NULL);
 118    fclose(paramfile);
 119  }
 120  /* "openssl dhparam -out dh_param_1024.pem -2 1024" */
 121  paramfile = fopen("dh_param_1024.pem", "r");
 122  if (paramfile) {
 123    dh_1024 = PEM_read_DHparams(paramfile, NULL, NULL, NULL);
 124    fclose(paramfile);
 125  }
 126  ...
 127
 128  /* "openssl dhparam -C -2 512" etc... */
 129  DH *get_dh512() { ... }
 130  DH *get_dh1024() { ... }
 131
 132  DH *tmp_dh_callback(SSL *s, int is_export, int keylength)
 133  {
 134     DH *dh_tmp=NULL;
 135
 136     switch (keylength) {
 137     case 512:
 138       if (!dh_512)
 139         dh_512 = get_dh512();
 140       dh_tmp = dh_512;
 141       break;
 142     case 1024:
 143       if (!dh_1024)
 144         dh_1024 = get_dh1024();
 145       dh_tmp = dh_1024;
 146       break;
 147     default:
 148       /* Generating a key on the fly is very costly, so use what is there */
 149       setup_dh_parameters_like_above();
 150     }
 151     return(dh_tmp);
 152  }
 153
 154 =head1 RETURN VALUES
 155
 156 SSL_CTX_set_tmp_dh_callback() and SSL_set_tmp_dh_callback() do not return
 157 diagnostic output.
 158
 159 SSL_CTX_set_tmp_dh() and SSL_set_tmp_dh() do return 1 on success and 0
 160 on failure. Check the error queue to find out the reason of failure.
 161
 162 =head1 SEE ALSO
 163
 164 L<ssl(3)|ssl(3)>, L<SSL_CTX_set_cipher_list(3)|SSL_CTX_set_cipher_list(3)>,
 165 L<SSL_CTX_set_tmp_rsa_callback(3)|SSL_CTX_set_tmp_rsa_callback(3)>,
 166 L<SSL_CTX_set_options(3)|SSL_CTX_set_options(3)>,
 167 L<ciphers(1)|ciphers(1)>, L<dhparam(1)|dhparam(1)>
 168
 169 =cut