<div dir="ltr"><span style="color:rgb(0,0,0);font-family:'Times New Roman';font-size:medium">Please find attached a patch supports enables CL+SSL to support ciphers that require a temporary/ephemeral RSA key.  To quote the OpenSSL documentation:</span><div>
<span style="color:rgb(0,0,0);font-family:'Times New Roman';font-size:medium"><br></span></div><div><span style="color:rgb(0,0,0);font-family:'Times New Roman';font-size:medium">"When using a cipher with RSA authentication, an ephemeral RSA key exchange can take place. In this case the session data are negotiated using the ephemeral/temporary RSA key and the RSA key supplied and certified by the certificate chain is only used for signing.</span><br>
</div><div><p style="color:rgb(0,0,0);font-family:'Times New Roman';font-size:medium">Under previous export restrictions, ciphers with RSA keys shorter (512 bits) than the usual key length of 1024 bits were created. To use these ciphers with RSA keys of usual length, an ephemeral key exchange must be performed, as the normal (certified) key cannot be directly used."</p>
<div><span style="color:rgb(0,0,0);font-family:'Times New Roman';font-size:medium">Basically, it accomplishes this by calling the Open SSL library function, "SSL_CTX_set_tmp_rsa_callback", upon initialization with a callback function whose purpose is to generate the ephemeral RSA key key.</span><br>
</div></div><div><span style="color:rgb(0,0,0);font-family:'Times New Roman';font-size:medium"><br></span></div><div><span style="color:rgb(0,0,0);font-family:'Times New Roman';font-size:medium">Best Regards,</span></div>
<div><span style="color:rgb(0,0,0);font-family:'Times New Roman';font-size:medium"><br></span></div><div><span style="color:rgb(0,0,0);font-family:'Times New Roman';font-size:medium">Kari Lentz</span></div>
</div>