Netty-Technologie mit OpenSSL und unterstützten Gruppen (elliptische Kurven) ⇐ Java

[Anonymous]

Ich habe einen Server, der JRE8, netty 4.1.x und netty-tcnative 2.0.36 verwendet. Standardmäßig ist SslProvider.OPENSSL konfiguriert.

Code: Select all

SslContextBuilder contextBuilder = SslContextBuilder.forServer(keyMngrFactory)
.sslProvider(SslProvider.OPENSSL)
.enableOcsp(true);

Der Server ist mit den Verschlüsselungssammlungen TLS 1.2 und TLS_ECDHE_RSA* konfiguriert.
Ich muss in der Lage sein, die elliptischen Kurven (Erweiterung „supported_groups“), die für den Austausch kurzlebiger ECDHE-Schlüssel während des SSL-Handshakes verwendet werden, einzuschränken (auf die Whitelist zu setzen). Allerdings scheint der Server mit SslProvider.OPENSSL die Systemeigenschaft -Djdk.tls.namedGroups nicht zu berücksichtigen. Stattdessen verwendet der Server immer P-256 für den Austausch kurzlebiger Schlüssel.
Wenn ich zu SslProvider.JDK wechsle, wird die obige Systemeigenschaft (

Code: Select all

-Djdk.tls.namedGroups

) wird während des Austauschs des kurzlebigen ECDHE-Schlüssels reflektiert. Allerdings kann ich meine Produktionsanwendung nicht auf die Verwendung des JDK-Anbieters umstellen.
Ich bin auf https://github.com/netty/netty-tcnative/issues/567 gestoßen. Aufgrund dessen glaube ich, dass es keine Unterstützung für die Einschränkung der Erweiterung „supported_groups“ gibt. Aber ich bin mir nicht sicher, ob es einen alternativen Ansatz gibt.
Meine Fragen:

• Können wir bei der Verwendung von SslProvider.OPENSSL mit netty-tcnative die elliptischen Kurven (unterstützte Gruppe/benannte Gruppe) einschränken, die für den Schlüsselaustausch verwendet werden sollen?
• Wenn ja, wie kann ich dasselbe konfigurieren?