Durante la lettura del manuale di OpenVPN 2.3, ho trovato l'opzione --auth alg
. Il manuale dice:
Authenticate packets with HMAC using message digest algorithm
alg
. (The default is SHA1 ). HMAC is a commonly used message authentication algorithm (MAC) that uses a data string, a secure hash algorithm, and a key, to produce a digital signature.
Da quanto ho capito, HMAC è solo un modo preferito di creare un MAC da una funzione di hash, evitando potenzialmente le proprietà di estensione della lunghezza di alcune funzioni hash.
Quindi l'algoritmo specificato nell'opzione --auth
dovrebbe essere una funzione hash.
Ora se faccio openvpn --show-digests
per sapere quali algoritmi posso usare con l'opzione --auth
ho anche voci come:
RSA-SHA, DSA-SHA, ECDSA-WITH-SHA1... etc.
Questi sono gli algoritmi di firma digitale, perché dovrebbero essere usati nell'HMAC? Per ottenere una sorta di "doppia autenticazione"? Non è un po 'eccessivo?
O significa che in questo caso l'HMAC viene effettivamente sostituito dalla firma digitale per ottenere l'autenticazione? Se questo è il caso, cosa è meglio usare in termini di sicurezza?