table of contents
DHPARAM(1) | OpenSSL | DHPARAM(1) |
NOM¶
dhparam - Manipulation et génération de paramètres DH
SYNOPSIS¶
openssl dhparam [-inform DER⎪PEM] [-outform DER⎪PEM] [-in nomfichier] [-out nomfichier] [-dsaparam] [-noout] [-text] [-C] [-2] [-5] [-rand fichier(s)] [nombrebits]
DESCRIPTION¶
Cette commande sert à manipuler des fichiers de paramètres DH.
OPTIONS¶
- -inform DER⎪PEM
- Ceci spécifie le format d'entrée. L'option DER
utilise une forme encodée ASN1 DER compatible avec la structure
PKCS#3 des paramètres DH. La forme PEM est le format par
défaut : il s'agit d'un format DER encodé base
64 avec des lignes d'en-tête et de pied de page
supplémentaires.
- -outform DER⎪PEM
- Ceci spécifie le format de sortie, les options étant
identiques à celles de l'option -inform.
- -in nomfichier
- Ceci spécifie le nom du fichier d'où seront lus les
paramètres ou l'entrée standard si cette option n'est pas
spécifiée.
- -out nomfichier
- Ceci spécifie le nom du fichier de sortie pour les
paramètres. La sortie standard est utilisée si cette option
n'est pas présente. Le nom de fichier ne doit pas être
identique au nom de fichier d'entrée.
- -dsaparam
- Avec cette option, des paramètres DSA sont lus ou
créés ; ils sont convertis vers le format DH.
Autrement, des nombres premiers "fort" (tels que (p-1)/2 est
également premier) serviront à la génération
des paramètres DH.
La génération de paramètres DH avec l'option -dsaparam est nettement plus rapide, et la longueur de l'exposant recommandé est plus courte, ce qui rend l'échange de clé DH plus efficace. Remarquons toutefois que pour tout paramètre DH de ce style DSA une clé DH nouvelle devrait être créée pour chaque utilisation afin d'éviter des attaques par petit sous-groupes qui seraient possibles autrement.
- -2, -5
- Le générateur à utiliser, soit 2 ou 5, le
défaut étant 2. Si présent, le fichier
d'entrée est ignoré et les paramètres sont
générés à la place.
- -rand fichier(s)
- Un ou plusieurs fichiers contenant des données aléatoires
servant à initialiser le générateur de nombres
aléatoires, ou encore un socket EGD (cf RAND_egd(3)). Plusieurs
fichiers peuvent être spécifiés utilisant un
caractère dépendant de l'OS. Ce séparateur est
; pour MS-Windows, , pour OpenVMS, et : pour tous les
autres.
- nombrebits
- Cette option spécifie qu'un jeu de paramètres de taille
nombrebits doit être généré. Cette
option doit être placée en dernier. Si elle n'est pas
présente, une valeur de 512 est utilisée. Si cette option
est présente, le fichier d'entrée est ignoré et des
paramètres sont générés à la place.
- -noout
- Cette option empêche la sortie des paramètres en version
encodée.
- -text
- Cette option affiche les paramètres DH sous forme lisible par
l'humain.
- -C
- Cette option convertit les paramètres en code source C. Ces paramètres peuvent ensuite être chargées en utilisant la fonction get_dh nombreoctets().
AVERTISSEMENT¶
Le programme dhparam combine les fonctionnalités des programmes dh et gendh des versions précédentes d'OpenSSL et de SSLeay. Les programmes dh et gendh sont maintenus pour l'instant mais pourraient avoir d'autres fonctions dans des versions à venir d'OpenSSL.
NOTES¶
Le format PEM des paramètres DH utilise les lignes d'en-tête et de pied suivants :
-----BEGIN DH PARAMETERS----- -----END DH PARAMETERS-----Actuellement, OpenSSL supporte seulement le DH PKCS#3, et pas encore le DH X9.42 plus récent.
Ce programme manipule les paramètres DH, et non les clés.
BOGUES¶
Il devrait y avoir un moyen de générer et de manipuler des clés DH.
VOIR AUSSI¶
HISTORIQUE¶
La commande dhparam a été ajoutée pour OpenSSL 0.9.5. L'option -dsaparam a été ajoutée pour OpenSSL 0.9.6.
0.9.6c | 3rd Berkeley Distribution |