OpenVPN Algoritmo di crittografia utilizzato per la crittografia del canale di controllo

0

In OpenVPN quale algoritmo viene utilizzato per la crittografia del canale di controllo ( --tls-crypt direttiva nel profilo OVPN)?

Usando --tls-crypt , ci sarà solo crittografia o autenticazione-poi-criptazione? Voglio disabilitare --auth utilizzando il parametro alg=none . So che --auth è richiesto per --tls-auth (autenticazione del canale di controllo).

Anche --auth è necessario per --tls-crypt , oppure posso disabilitare --auth senza problemi imminenti relativi al funzionamento di --tls-crypt ?

Aggiornamento 1: ho cercato nel manuale OpenVPN 2.4 e si afferma che --tls-crypt è usato per la crittografia "e" il canale di controllo dell'autenticazione. Il resto della domanda rimane senza risposta.

Aggiornamento 2: dopo aver cercato nel forum di supporto di OpenVPN; Mi sono reso conto che --tls-crypt utilizza AES-256-CTR per la crittografia; non so ancora nulla del lato autenticazione.

    
posta HansRX 11.05.2018 - 11:32
fonte

1 risposta

1

Primo: non disabilitare --auth . --auth controlla il meccanismo di autenticazione per il canale dati, mentre --tls-crypt è per il canale di controllo (sebbene, e questo è leggermente confuso, --auth controlla anche l'algoritmo auth usato da --tls-auth ).

--tls-crypt utilizza metodi crittografici fissi, che sono HMAC-SHA256 per l'autenticazione e AES-256-CTR per la crittografia. Quindi sì, come dice la pagina man, --tls-crypt offre un ulteriore livello di sia crittografia che autenticazione per il canale di controllo. Gli algoritmi non sono menzionati nella pagina man, ma stampati a --verb 3 livello di log con openvpn op startup:

Sat May 12 22:07:42 2018 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Sat May 12 22:07:42 2018 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat May 12 22:07:42 2018 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Sat May 12 22:07:42 2018 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

Per ulteriori informazioni, puoi leggere il messaggio di commit del commit che ha introdotto tls-crypt ( link ) oppure la documentazione in-code ( link o il doxygen generato disponibile su link ).

    
risposta data 12.05.2018 - 22:13
fonte

Leggi altre domande sui tag