È OpenVPN sicuro se sia il certificato sia la chiave privata, sono pubblicamente noti?

4

Il mio ISP è spazzatura e lo stato di Internet nel Regno Unito sembra essere diretto verso il 1984. Ho iniziato a guardare le VPN e sono incappato in IPredator come test di basso costo.

Ti dà l'opzione di OpenVPN e fornisce una guida per Ubuntu .

Parte della guida implica il download di un certificato e la sua chiave privata. Lo scarichi su SSL ma il certificato non è unico per te. Chiunque può accedere a quella pagina e scaricare entrambe le metà della chiave.

Questa domanda deriva in realtà dal non capire come OpenVPN utilizza TLS ma ...
In che modo la connessione è protetta se una parte malintenzionata conosce i dettagli e le chiavi di crittografia?

(Qualcuno può aggiungere il tag openvpn a questo? Sembra che dovrebbe essere un tag valido qui.)

    
posta Oli 08.09.2012 - 15:57
fonte

2 risposte

5

Ho appena parlato con i ragazzi di IPredator su IRC ed è piuttosto interessante. Ho fatto alcune ipotesi errate.

Come parte del processo di installazione, aggiungi la loro CA. Questo è abbastanza giusto. Quindi l'intera connessione avviene tramite la crittografia a chiave pubblica RSA (o simile).

La coppia di chiavi è solo un ulteriore livello di crittografia TLS per l'autenticazione. Ammettono che non offre alcuna sicurezza aggiuntiva per gli utenti, ma significa che chiunque cerchi di connettersi ha bisogno di quella coppia di chiavi. Richiederli ha significato un netto calo degli DDoS in stile di connessione.

Quindi è ancora sicuro. La coppia di chiavi è solo un ulteriore security-through-obscurity.

    
risposta data 08.09.2012 - 16:32
fonte
1

Il file di chiavi TA della guida è una chiave statica utilizzata per autenticare tutto il traffico tra il server VPN e il client. Ciò consente a una delle parti di scartare tutto il traffico non autenticato da quella chiave specifica.

Inoltre, ogni sessione utilizzerà una chiave di sessione scambiata (tramite Diffie-Hellman o metodi simili) per crittografare il traffico.

    
risposta data 15.03.2016 - 15:06
fonte

Leggi altre domande sui tag