Questa domanda elabora che OpenVPN utilizza due canali per trasferire i dati .
Imposta innanzitutto una connessione TLS (chiamata canale controllo ) e la utilizza per trasferire una chiave simmetrica e alcuni altri dati di controllo. Quindi imposta un altro canale (canale dati ) e avvia il trasferimento dei dati effettivi crittografati utilizzando il tasto.
Perché il secondo canale? Perché non trasferire facilmente tutti i dati utilizzando TLS?
C'è un po 'di verità nelle altre risposte, ma la ragione principale è diversa: perché OpenVPN è stato progettato come IP-over-UDP, mentre TLS viene eseguito su TCP. Inoltre, le versioni iniziali di OpenVPN non avevano affatto lo scambio di chiavi, ma avevano già un proprio protocollo di canale dati (meglio progettato di TLS). Pertanto, quando TLS è stato aggiunto, era opportuno attenersi a quello per il canale dati.
(Oggigiorno c'è DTLS che gira su UDP, ma questo non esisteva quando il protocollo OpenVPN è stato creato.)
OpenVPN non è progettato solo per un tipo di scambio di chiavi. Esistono diversi tipi di scambio di chiavi supportati da OpenVPN. Piuttosto che creare un nuovo protocollo per ogni singolo tipo, gli sviluppatori utilizzano un singolo protocollo, il canale dati, e consente a diverse funzionalità di fornire la chiave utilizzando i propri protocolli, come TLS. Inoltre, questo consente di utilizzare funzionalità come --tls-auth per fornire funzionalità di sicurezza che TLS non fornisce ( in questo caso, l'autenticazione prima che TLS entri in gioco, come seconda linea di difesa).
La documentazione OpenVPN spiega i due tipi predefiniti di scambio di chiavi, chiavi statiche e TLS.