¿Cómo se obtiene la clave cuando inicio sesión a través de VPN?

Navega tus respuestas
0

Entonces, configuro mi VPN (digamos que utiliza el protocolo PPTP), ingrese el nombre del servidor, el nombre de usuario y la contraseña. Luego, visito un sitio web. Antes de eso, mi solicitud se encripta utilizando AES con alguna clave. Esa solicitud se envía a la VPN. ¿Cómo esa VPN descifra los datos? ¿Cómo puede saber cuál es la clave? ¿Cómo se obtiene esa clave entre dos partes? ¿O es que la primera solicitud se envía con mi nombre de usuario y contraseña, VPN verifica si el usuario existe, genera la clave y la envía de vuelta al usuario? Pero sería inseguro hacer eso. Además, se debe crear una clave diferente cuando inicie sesión a través del dispositivo móvil.

    
pregunta evening 28.08.2013 - 02:03
fuente

2 respuestas

2

Los detalles precisos dependerán del software VPN específico que utilice, pero en general, la misma clave criptográfica se cargará previamente en ambos extremos de la VPN. Puede especificarse en un archivo de configuración, o derivarse de una frase de contraseña, o de alguna otra manera ponerse a disposición de ambos puntos finales. Así es como el software VPN en su máquina cifra los datos y cómo el software VPN en el extremo final puede descifrar los datos cifrados.

    
respondido por el D.W. 29.08.2013 - 09:19
fuente
1

PPTP en sí, como se especifica, no incluye ningún cifrado; pero la implementación PPTP más utilizada, incluida con Windows, incluye una capa de cifrado no estándar, que resultó ser bastante mal hecha y, por lo tanto, craqueables de muchas maneras, algunas de ellas genéricamente mortal . En este caso específico, la clave utilizada para el cifrado se calculó de manera determinista (a través de una simple invocación de la función hash) sobre la concatenación de la contraseña de usuario hash, y un nonce aleatorio que se intercambió (como texto claro) durante el paso de autenticación inicial. >

En general , para que una clave simétrica se comparta entre dos sistemas, hay dos opciones:

  • La clave se deriva de un secreto compartido inicial, que se configuró mediante algún procedimiento de inicialización. Esto es lo que Microsoft estaba haciendo con PPTP, siendo el "secreto inicial" el (hash de) la contraseña del usuario. La derivación puede incluir algunos valores aleatorios (que deben enviarse de un sistema a otro) para que se genere una clave diferente cada vez.

  • Una clave se genera dinámicamente con un protocolo de acuerdo clave . Este es el modelo de SSL y, de hecho, hay una implementación de VPN que usa SSL (por ejemplo, OpenVPN ) . Para prevenir los ataques Man-in-the-Middle , debe ocurrir algún tipo de autenticación. SSL utiliza certificados X.509 . Consulte esta respuesta para algunas explicaciones sobre cómo una cosa tal como crear un secreto compartido de la nada puede funcionar. Las diferencias entre una VPN y una conexión HTTPS de navegador a servidor web no son relevantes aquí: se aplican los mismos conceptos.

respondido por el Tom Leek 30.08.2013 - 00:42
fuente

Lea otras preguntas en las etiquetas

Ocultar carga útil XSS ¿Cuáles son las razones por las que este código de inyección SQL no funcionaría? [duplicar]