<div dir="ltr">Oh, thanks, I don't know about that, it's very helpful.</div><br><div class="gmail_quote"><div dir="ltr">пт, 24 авг. 2018 г. в 11:41, Hans Nilsson R <<a href="mailto:hans.r.nilsson@ericsson.com">hans.r.nilsson@ericsson.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi!<br>
<br>
You can't just grab any prime and use it in DH.  Any prime will work, but very<br>
few primes are safe to use.  And to find a safe prime is a slow process...<br>
<br>
Only one out of 400000 1024-bits primes are safe according to<br>
<br>
 <a href="https://security.stackexchange.com/questions/5263/where-do-i-get-prime-numbers-for-diffie-hellman-can-i-use-them-twice" rel="noreferrer" target="_blank">https://security.stackexchange.com/questions/5263/where-do-i-get-prime-numbers-for-diffie-hellman-can-i-use-them-twice</a><br>
<br>
/Hans<br>
<br>
On 08/23/2018 04:57 PM, Alexander Petrovsky wrote:<br>
> Hello!<br>
> <br>
> We have stumble upon default DH prime (2048 bits) in Erlang when we try to<br>
> establish TLS session with cisco spa303 (VoIP hardphone)<br>
> via TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039) cipher suite. Unfortunately,<br>
> this hardphone can work only with 1024 bit DH prime.<br>
> <br>
> I wonder, why Ingela hardcoded this DH prime -<br>
> <a href="https://github.com/erlang/otp/commit/3458af579af6600870c5ada69b81085f47e9f52b" rel="noreferrer" target="_blank">https://github.com/erlang/otp/commit/3458af579af6600870c5ada69b81085f47e9f52b</a><br>
> <br>
> In my synthetical tests, new DH prime generation is fast enough<br>
> (crypto:strong_rand_bytes(256)), about 17 us in 99 percentile in 1000000<br>
> iterations.<br>
> <br>
> Why Ingela has hardcoded this DH prime and is any reason why I shouldn't<br>
> generate DH prime in real-time?<br>
> <br>
> <br>
> <br>
> _______________________________________________<br>
> erlang-questions mailing list<br>
> <a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>
> <a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
> <br>
_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org" target="_blank">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" rel="noreferrer" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr">Петровский Александр / Alexander Petrovsky,<br><br>Skype: askjuise<br><div>Phone: +7 931 9877991<div><br></div></div></div></div></div></div>