[Dovecot-de] dovecot 2.2.18 and ssl_parameters_regenerate

[Alexander Stoll]

Am 01.06.2015 um 20:41 schrieb Django:

> O.K. welche Dovecot-Version und welche DH-Schlüssellänge verwendest Du
> denn?

An der Stelle erlaube ich mir mal einzuhaken, da bereits irreführende 
Begriffsverwendung in die Diskussion Einzug gehalten hat...

Es handelt sich bei den DH-Parametern eben NICHT um Schlüssel!!! Die 
Komplexität der Kryptografie bedingt, dass man sich rasch in einer 
Situation wiederfindet, in der man völlig unabsichtlich mit überzogenem 
Aufwand sinnbildlich die Vordertür verrammelt, die Hintertür aber 
angelehnt lässt...

Die DH-Parameter sind, stark vereinfacht dargestellt "nur" eine 
Komponente für Initialisierungsparameter für den Schlüsseltausch einer 
Verbindung, auch finden für den Schlüsseltausch weitere Faktoren Eingang 
(verwendete Gruppen etc.).

Nach derzeitigem Stand reicht die systemspezifische Generierung der 
Parameter in 2048-Bit aus.
Extreme Paranoiker wie ich, belassen es bei 4096-Bit für jedes System 
einmalig generiert.
Wer mit dem Gedanken spielt die Parameter in kurzen Abständen neu zu 
generieren, hat hoffentlich auch einen Hardware Token, der belegt gute 
Zufallswerte liefert in jedem System, um diesem Niveau angemessene 
Entropie verfügbar zu haben, hat die zulässigen Ziffern entsprechend 
angepasst und verweigert sich lieber einem pot. Kommunikationspartner 
als Kompromisse einzugehen...