¿La entrega no segura de claves y certificados hace que una VPN sea inútil?

1

Tuve que instalar un servicio OpenVPN en una computadora nueva y desconectada, pero las llaves y los certificados se entregaron a través de una computadora insegura con una conexión altamente sospechosa.

Supongamos que la clave de autenticación TLS, el certificado de CA, el certificado de cliente público y la clave de cliente pública fueron interceptados durante la entrega. Si debo ingresar manualmente o copiar y pegar estas claves y certificados en los campos durante la instalación de VPN, ¿cómo debo obtener las claves y certificados de forma segura?

La VPN tiene las siguientes especificaciones:

  

CIFRAS DEL CANAL DE DATOS

     

AES-256-CBC con HMAC-SHA1 para autenticación

  

CIFEROS DE CANAL DE CONTROL

     

AES-256-GCM con HMAC-SHA384 para autenticación

     

AES-256-CBC con HMAC-SHA1 para autenticación

  

Tamaño de las claves RSA de 4096 bits

     

Tamaño de las claves Diffie-Hellman de 4096 bits

     

Cifras TLS (nombres IANA): TLS-DHE-RSA-WITH-AES-256-CBC-SHA,   TLS-DHE-RSA-WITH-AES-256-GCM-SHA384

     

Clave de capa de autorización adicional TLS: 2048 bits

     

Secreto directo perfecto a través del intercambio de claves Diffie-Hellman DHE. Después   La negociación de clave inicial, el reingreso se realiza cada 60 minutos.   (este valor puede ser bajado unilateralmente por el cliente)

    
pregunta MeatBlimp 13.05.2016 - 04:25
fuente

2 respuestas

2

Creo que estás usando terminologías no estándar y eso hace que las cosas sean confusas para ti. Definiré los términos aquí:

  1. Clave privada: una cadena que debe mantenerse en secreto, utilizada en operaciones criptográficas para autenticar o cifrar
  2. clave pública: una cadena que Están vinculados matemáticamente a la clave privada, no a un secreto. Se utiliza en el certificado para descifrar e identificar firmas que coinciden con una clave privada
  3. Certificado: clave pública + datos asociados opcionales + firma de la CA que vincula la clave con los datos asociados. No es un secreto. Cada lado de la comunicación utiliza los datos asociados en el certificado para identificar a su par.

La clave de autenticación TLS, la clave privada del cliente y la clave privada del servidor son los únicos datos que el cliente y el servidor deben mantener privados, respectivamente.

En el funcionamiento normal de la autenticación x.509, el servidor no necesita conocer la clave privada del cliente, y viceversa, el cliente no necesita conocer la clave del servidor. Solo necesita entregar sus claves públicas a la CA de manera que la CA pueda verificar que están firmando la clave pública correcta para la entidad correcta para los propósitos correctos.

El certificado raíz de la CA, la clave pública y el certificado del servidor, y la clave pública y el certificado del cliente no son secretos. Las propiedades de seguridad de PKI no se basan en el secreto de claves públicas y certificados. Un atacante puede interceptarlos y eso no les ayudará a descifrar su comunicación con el servidor.

Un atacante que pueda interceptar pasivamente su comunicación con la CA tampoco podría interceptar su comunicación con el servidor. Para interceptar su comunicación con el servidor, el atacante tendría que modificar activamente su comunicación con la CA, durante todo el proceso de verificación y durante toda su comunicación con el servidor.

En resumen, sí, la entrega insegura de la solicitud de firma de certificado a la CA puede hacer que la PKI sea inútil. Sin embargo, la entrega insegura del certificado al interlocutor no es un problema, ya que toda la información intercambiada es pública.

    
respondido por el Lie Ryan 13.05.2016 - 10:42
fuente
-3

Todos los certificados y claves que está presentando son información necesaria para un servicio openvpn en funcionamiento para el lado del cliente .

No es nada incorrecto darlos en público. La única debilidad de seguridad es el nombre de usuario: contraseña (si es débil) y su IP (ataques de ddos).

    
respondido por el Christos 13.05.2016 - 08:59
fuente

Lea otras preguntas en las etiquetas