Ho appena installato la mia installazione di OpenVPN sul mio server.
Sono curioso del motivo per cui il manuale OpenVPN raccomanda la modalità CBC. Ho sentito che CBC è prevedibile e non sicuro; è vero?
Ho appena installato la mia installazione di OpenVPN sul mio server.
Sono curioso del motivo per cui il manuale OpenVPN raccomanda la modalità CBC. Ho sentito che CBC è prevedibile e non sicuro; è vero?
Ciò che hai sentito non è accurato. CBC è sicuro, se usato correttamente. OpenVPN utilizza correttamente la modalità CBC. In generale, OpenVPN è molto ben progettato e non dovresti preoccuparti di questo. Non è necessario modificare le impostazioni predefinite per gli algoritmi crittografici.
In effetti, la modalità CBC è la modalità di funzionamento predefinita per OpenVPN, quindi non è necessario modificare nulla; puoi limitarti alle impostazioni predefinite e ti consiglio di farlo.
OpenVPN supporta anche le modalità CFB e OFB, ma queste modalità non presentano vantaggi rispetto alla modalità CBC (e la modalità OFB presenta alcuni potenziali svantaggi). Pertanto, penso che il default di CBC di OpenVPN sia una scelta ragionevole e ragionevole.
OpenVPN supporta molti algoritmi a chiave simmetrica. L'impostazione predefinita è Blowfish, ma supporta anche DES, 3DES, DESX, RC2, CAST5, AES, CAMELLIA e SEED. Blowfish è una scelta eccellente. AES sarebbe probabilmente la scelta più conservativa e convenzionale, ma francamente Blowfish o AES vanno bene. Eviterei sicuramente single-DES (o qualsiasi cosa elencata come una chiave a 40-bit o 64-bit), e proverei a evitare RC2, CAMELLIA, SEED, CAST5 e DESX se potessi - ma questo è un dettaglio. In ogni caso, i valori predefiniti di OpenVPN vanno bene, quindi ti suggerisco di limitarti a rispettarli, piuttosto che provare a modificarli.
Un commento per il futuro: se vuoi che commentiamo un consiglio di qualcun altro, è utile se puoi collegarti alla fonte primaria. (Non ci hai detto dove hai ricevuto la raccomandazione di utilizzare la modalità CBC in OpenVPN.) Questa volta sono riuscito a capire cosa intendevi, ma per il futuro potrebbe essere utile se pubblichi altre domande.
Leggi altre domande sui tag cryptography vpn