Algoritmo de cifrado OpenVPN usado para el cifrado del canal de control

Navega tus respuestas
0

En OpenVPN, ¿qué algoritmo se usa para el cifrado del canal de control (directiva --tls-crypt en el perfil OVPN)?

Al utilizar --tls-crypt , ¿solo habrá encriptación o autentificación, y luego encriptación? Quiero deshabilitar --auth usando el parámetro alg=none . Sé que se requiere --auth para --tls-auth (autenticación de canal de control).

¿También es necesario --auth para --tls-crypt , o puedo deshabilitar --auth sin problemas futuros relacionados con --tls-crypt en funcionamiento?

Actualización 1: busqué en el manual OpenVPN 2.4 y dice que --tls-crypt se usa para el cifrado "y" el canal de control de autenticación. El resto de la pregunta sigue sin respuesta.

Actualización 2: después de buscar en el foro de soporte de OpenVPN; Me di cuenta de que --tls-crypt usa AES-256-CTR para el cifrado; Todavía no sé nada sobre el lado de la autenticación.

    
pregunta Hans 11.05.2018 - 11:32
fuente

1 respuesta

1

Primero: no deshabilite --auth . --auth controla el mecanismo de autenticación para el canal de datos, mientras que --tls-crypt es para el canal de control (aunque, y esto es un poco confuso, --auth también controla el algoritmo de autenticación utilizado por --tls-auth ).

--tls-crypt usa métodos criptográficos fijos, que son HMAC-SHA256 para la autenticación y AES-256-CTR para el cifrado. Así que sí, como dice la página del manual, --tls-crypt ofrece una capa adicional de cifrado y autenticación para el canal de control. Los algoritmos no se mencionan en la página de manual, pero se imprimen en --verb 3 log level mediante openvpn op startup: 

Sat May 12 22:07:42 2018 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Sat May 12 22:07:42 2018 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Sat May 12 22:07:42 2018 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Sat May 12 22:07:42 2018 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication

Para obtener más información, puede leer el mensaje de confirmación de la confirmación que introdujo tls-crypt ( enlace ) , o la documentación del código ( enlace , o el doxygen generado disponible en enlace ).

    
respondido por el Steffan Karger 12.05.2018 - 22:13
fuente

Lea otras preguntas en las etiquetas

¿Qué son los "Rectángulos de clientes" de ScriptSafe y qué información se filtra? ¿La presencia del token XSRF y la cookie de sesión por solicitud mitiga el riesgo de seguridad de las credenciales de inicio de sesión de fuerza bruta? [duplicar]