為什麼我在 SSL 握手期間收到「無法產生 DH 金鑰對」錯誤？

錯誤：在SSL 握手期間“無法生成DH 密鑰對”

問題：

與特定IRC 伺服器建立SSL連線時，開發人員會遇到以下情況異常：

java.lang.RuntimeException: Could not generate DH keypair
...
java.security.InvalidAlgorithmParameterException: Prime size must be multiple of 64, and can only range from 512 to 1024 (inclusive)

答案：

此問題的根本原因是Diffie-Hellman (DH) 金鑰交換演算法中使用的“素數大小”。 Java 的預設 SSL 實作將質數大小限制為最大 1024 位元（請參閱 JDK-6521495）。

解決方法：

要解決這個問題，Java 開發人員可以考慮使用替代工具包或實作解決方法。以下是建議的解決方案：

1. 使用替代工具包：採用支援大於 1024 位元的素數大小的不同 SSL 實現，例如 BouncyCastle 的 JCE 實現。
2. 編輯Java原始碼（不建議）：修改Java的原始碼DHKeyPairGenerator 類別（位於 com.sun.crypto.provider 中）用於增加最大素數大小限制。

更高版本的 Java 版本：

請注意，稍後Java 版本中，提高了 DH 金鑰交換的最大素數大小限制。以下是摘要：

• Java 8 (JDK-7044060)：限制增加到 2048 位元。
• Java 9 (JDK-8072452)：刪除了大於 2048 的質數大小的限制位。

如果您使用的是較舊的 Java 版本，則建議升級以利用增加的主要大小限制。

以上是為什麼我在 SSL 握手期間收到「無法產生 DH 金鑰對」錯誤？的詳細內容。更多資訊請關注PHP中文網其他相關文章！