2
将自定义SSH DH组部署到仅客户端系统有任何安全性好处吗?
针对SSH的与Logjam相关的攻击的一种建议的缓解策略是,使用类似以下的方法生成自定义的SSH Diffie-Hellman组: ssh-keygen -G moduli-2048.candidates -b 2048 ssh-keygen -T moduli-2048 -f moduli-2048.candidates 然后用输出文件替换系统范围的模数文件moduli-2048。(ssh-keygen -G用于生成候选DH-GEX素数,并ssh-keygen -T测试生成的候选安全性。) 显然,这在SSH服务器上是很合理的事情,否则将使用众所周知的组来很好地进行预计算,但是将自定义SSH DH组部署到仅客户端系统上是否有安全方面的好处?(也就是说,连接到SSH服务器,但从不充当SSH服务器的系统。) 我主要对与Linux上的OpenSSH有关的答案感兴趣,但是也希望您能获得更多通用的答案。