Acabo de configurar mi instalación de OpenVPN en mi servidor.
Tengo curiosidad por qué el manual de OpenVPN recomienda el modo CBC. Escuché que el CBC es predecible y no seguro; ¿Es eso cierto?
Acabo de configurar mi instalación de OpenVPN en mi servidor.
Tengo curiosidad por qué el manual de OpenVPN recomienda el modo CBC. Escuché que el CBC es predecible y no seguro; ¿Es eso cierto?
Lo que has escuchado no es exacto. CBC es seguro, si se usa correctamente. OpenVPN usa el modo CBC correctamente. En general, OpenVPN está muy bien diseñado y no debes preocuparte por esto. No es necesario que cambie la configuración predeterminada de los algoritmos criptográficos.
De hecho, el modo CBC es el modo de operación predeterminado para OpenVPN, por lo que no necesita cambiar nada; puedes seguir con los valores predeterminados y te recomiendo que lo hagas.
OpenVPN también admite los modos CFB y OFB, pero esos modos no tienen ventajas sobre el modo CBC (y el modo OFB tiene algunas desventajas potenciales). Por lo tanto, creo que el valor predeterminado de OpenVPN de CBC es una opción razonable y sensata.
OpenVPN soporta muchos algoritmos de clave simétrica. El valor predeterminado es Blowfish, pero también admite DES, 3DES, DESX, RC2, CAST5, AES, CAMELLIA y SEED. Blowfish es una buena opción. AES sería posiblemente la opción más conservadora y convencional, pero francamente Blowfish o AES están bien. Definitivamente evitaría un solo DES (o cualquier cosa que aparezca como una clave de 40 o 64 bits), y trataría de evitar RC2, CAMELLIA, SEED, CAST5 y DESX si pudiera, pero esto es un detalle. En cualquier caso, los valores predeterminados de OpenVPN están bien, por lo que te sugiero que te limites a ellos, en lugar de intentar modificarlos.
Un comentario para el futuro: si desea que comentemos una recomendación de otra persona, es útil si puede enlazar a la fuente principal. (No nos dijo dónde obtuvo la recomendación de usar el modo CBC en OpenVPN). Esta vez pude averiguar lo que quería decir, pero para el futuro, esto podría ser útil si publica otras preguntas.
Lea otras preguntas en las etiquetas cryptography vpn