LINUX.ORG.RU
ФорумSecurity

Нефкурил о нужности dh1024.pem в OpenVPN

 , ,


2

6

Читаю документацию к OpenVPN и не могу понять некоторые вещи. Зачем столько ключей?
ca.crt и ca.key - ключевая пара удостоверяещего центра, располагают обычно там же где и ключевую пару сервера
server.crt и server.key - ключевая пара сервера
client.crt и client.key - ключевая пара клиента, сервер примет открытый ключ только того клиента, который подписан тем же удостоверяющим центром, что и он сам
ta.key - ключ для организации защищённой аутентификации, чтобы процесс обмена открытыми ключами вёлся по защищённому каналу
А вот для чего нужен dh1024.pem? Всё необходимое для существования защищённого канала ведь уже есть. И зачем нужен параметр cipher?
И ещё не понял. Если я использую альтернативные методы аутентификации auth-user-pass или pkcs11 они заменяют или дополняют систему аутентификацию в виде ключевой пары?

★★★★★
Просветите, может ли процесс выбраться из Docker
Samba доступ по времени
1 2
Ответ на: комментарий от shahid

DH prime

А скажи-ка, что это такое для начала, «DH prime», дай определение, ты так много раз употребил это слово :)

Harald ★★★★★
()
Ответ на: комментарий от shahid

https://jimshaver.net/2015/02/11/decrypting-tls-browser-traffic-with-wireshar...
Если я правильно понял, то тут и forward secrecy ему не помеха. Надо протестировать как-нибудь. (вот только после этого все ключи менять, немного лениво)
Да генерировал dh 4096 на атоме, четыре дня, потом сдался. Если использовать только дефолтный seed, то тогда это правда долго.

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от shahid

Поздно, конечно, но ворвусь в тред.

shahid, вы не правы. Во-первых, dh1024.pem не является секретным сам по себе, вы можете его не генерировать, а брать из пакета. Прямо так и написано в мане:

--dh file File containing Diffie Hellman parameters in .pem format (required for --tls-server only). Use

openssl dhparam -out dh1024.pem 1024

to generate your own, or use the existing dh1024.pem file included with the OpenVPN distribution. Diffie Hellman parameters may be considered public.

Другой софт, которому не нужен DH как файл, использует зашитые параметры. К примеру, код nginx. Из этого ключа генерируется случайная временная пара, которая используется для передачи общего ключа для симметричного шифрования. Имея дамп трафика и закрытые ключи клиента и сервера, вы все равно не сможете расшифровать трафик, т.к. EDH-ключ, во-первых, находится только в оперативной памяти, а во-вторых, часто меняется (например, в OpenVPN время смены ключа составляет 1 час по умолчанию).

ValdikSS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Просветите, может ли процесс выбраться из Docker
Security
Samba доступ по времени