OpenVPN, ключи

Не понимаю, каким образом они предлагают предотвращать DDoS

A зачем вся эта муть с сертификатами и ассиметричным шифрованием? Почему бы просто не передать ключ симметричного шифрования и не усложнять жизнь?

Потому что в данном случае клиент не знает закрытый ключ сервера и наоборот. Так что если у клиента упереть все данные, то притвориться сервером все равно не выйдет. В случае с симметричным шифрованием ключ всего один, который должны знать обе стороны. Во-вторых, если по данному соединению предполагается большой трафик, появляется необходимость периодически менять симметричный ключ, что уже решено с помощью асимметрики. В принципе, это единственные «плюсы».

С другой стороны, возможность DDoS вызвана как раз тяжеловесностью асимметричных криптоалгоритмов, поэтому в случае отказа от них... сами понимаете.

> Не понимаю, каким образом они предлагают предотвращать DDoS

по-быстрому отсекать пакеты еще до проверки сертификатов.

Ну, да, спасибо к... По какому критерию они их собираются отсекать? Разве злоумышленник, перехвативший начало успешного соединения, не сможет отправить пакет, который таки-вызовет проверку сертификата?

Вообще-то, у меня есть идеи относительно защиты SSL от DDoS. Все они упираются в многоступенчатую проверку: т.е. сначала проверяется каким-то легковесным алгоритмом, потом более надежным, и т.д. В этом случае для DDoS понадобится выч. мощность в 100500 раз больше, чем у атакуемого.

«Начало» успешного соединения каждый раз разное и основано на псевдослучайных числах из /dev/[u]random, так что это ничем не поможет атакующему.

оно и есть

Не совсем оно - я имел в виду асимметричные алгоритмы. А тут - стоит спереть у какого-нибудь клиента предложенный автором «ta.key», и можно досить. Регулярно менять его у всех клиентов весьма проблематично.