OpenVPN è crittografato con nessun certificato client?

Naviga le tue risposte
2

Recentemente abbiamo installato un firewall basato su pfSense che con poca confusione ha generato un installer OpenVPN che non contiene certificati lato client. La maggior parte dei membri del nostro team ha utilizzato OpenVPN in un modo o nell'altro negli ultimi 10 anni e ha sempre avuto i certificati lato client come parte dell'installazione. Di conseguenza un dibattito ha portato a mettere in discussione se il tunnel è crittografato se non ci sono certificati lato client. Dopo un bel po 'di ricerche non possiamo arrivare a una conclusione definitiva.

Riconosciamo il valore dei certificati lato client, ma solo ai fini della conoscenza con l'autenticazione basata su account e password e nessun certificato client è OpenVPN un tunnel non criptato?

Abbiamo usato Wireshark e generato un semplice traffico UDP con netcat ed è apparso crittografato, ma per i no-sayers questa non era una prova sufficiente. I documenti non indicano chiaramente che il tunnel è sempre crittografato sebbene discuteranno di non utilizzare i certificati lato client e menzionano anche che dal momento che lo scambio sicuro di dati dell'account e della password 2.0 è disponibile senza certificati lato client.

C'è una documentazione citabile che supporta una conclusione?

    
posta jriffel73 26.10.2016 - 04:37
fonte

2 risposte

0

Esiste un'estensione x509 chiamata Estensione di utilizzo chiave , contrassegnata come estensione critica. Queste estensioni specificano l'ambito di utilizzo della chiave associata al certificato. 

Few common one are :

Digital signature
Key encipherment

Nessuna estensione specifica che questo particolare certificato è per la crittografia, quindi puoi concludere solo da qui, fornire al cliente un certificato extra fornirà solo un tipo di autenticazione dell'entità (la periferica su cui è installato il certificato client è valida per procedere all'applicazione autenticazione di livello)

Dopo questa autenticazione ssl non c'è differenza tra la tua configurazione corrente e la configurazione con i certificati client, la comunicazione sarà ugualmente valida in entrambi i casi in cui la chiave con la stessa forza verrà derivata dopo che l'handshake di ssl è stato eseguito in entrambi i casi

    
risposta data 26.10.2016 - 10:09
fonte
0

I certificati client non vengono utilizzati per la crittografia in OpenVPN. Questi sono "solo" utilizzati per l'autenticazione del client, cioè che solo i client che forniscono un certificato affidabile possono utilizzare la VPN.

    
risposta data 26.10.2016 - 05:37
fonte

Leggi altre domande sui tag

Dove trovare mail o indirizzi di posta su un server web? [chiuso] garantisce che la chiave pubblica non venga compromessa sulla strada per il destinatario quando il mittente ha una chiave pubblica dei destinatari