debianforum.de

die deutschsprachige Supportwebseite rund um das Debian-Projekt
https://debianforum.de/forum/

OpenVPN Verschlüsselungsparameter

https://debianforum.de/forum/viewtopic.php?t=170906

Seite 1 von 1

OpenVPN Verschlüsselungsparameter

Verfasst: 30.09.2018 13:49:56
von user18
Hallo,

für zuhause konfiguriere ich gerade OpenVPN und ich frage mich, was die sichersten Verschlüsselungsparameter wären:

Beispiel 1:

Code: Alles auswählen

dh dh4096.pem
tls-crypt ta.key
auth SHA512
Mit dieser Config wird mit OpenVPN 2.4 folgendes zwischen Client und Server ausgehandelt:
Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Data Channel: Cipher 'AES-256-GCM'

Beispiel 2: Testweise habe ich in einer VM PIVPN installiert. Dabei wird folgende Config generiert:

Code: Alles auswählen

dh none
ecdh-curve secp384r1
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
cipher AES-256-CBC
auth SHA256
Beispiel 3: Im Internet habe ich auch folgende Empfehlung gefunden:

Code: Alles auswählen

dh none
ecdh-curve secp384r1
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384
ncp-cipher AES-256-GCM:AES-256-CBC
auth SHA256
Beispiel 4: Eine andere Empfehlungsgconfig ist auch:

Code: Alles auswählen

dh dh4096.pem
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
ncp-ciphers AES-256-GCM:AES-192-GCM:AES-128-GCM
tls-crypt ta.key
auth SHA512
Welches Beispiel ist wohl am sichersten? Welche Configkombination wäre am sichersten?
Warum wird manchmal Diffie-Hellman`Parameter (dh) benötigt und teilweise nicht?

Re: OpenVPN Verschlüsselungsparameter

Verfasst: 30.09.2018 14:56:30
von eggy
aus dem Manual:

Code: Alles auswählen

--dh file
    [...]
    Set file=none to disable Diffie Hellman key exchange (and use ECDH only). 
    [...]
Und nun rate mal wofür das DH in ECDH steht: https://de.wikipedia.org/wiki/ECDH#Diff ... her_Kurven

Re: OpenVPN Verschlüsselungsparameter

Verfasst: 30.09.2018 16:47:54
von format_c
Also alle gewählten Varianten sind aktuellster Standard.

EllipticCurveDiffieHellmannEmpheral ist die sicherste Variante das Master bzw. das Pre-Master Secret auszuhandeln.

Für die eigentliche Übertragung ist AES mit einer 256bit Schlüssellänge im G-Point CounterMode auch so ziemlich das Sicherste was man zur Verschlüsselung und Integritätsprüfung wählen kann. Der AES Schlüssel könnte noch doppelt so lang sein, aber der Sicherheit/Performance Trade-off rechtfertigt das nicht wirklich.

Statisches DiffieHellmann gilt auch noch als sicher, aber vor Allem die Empheral Varianten (also auch die DHE_ ChipherSuites) sind durch die Kurzlebigkeit der Master Secrets besser und haben auch keinen wirklichen Performance Einfluss da nur beim Handhake relevant.

Re: OpenVPN Verschlüsselungsparameter

Verfasst: 03.10.2018 16:12:56
von dufty2
Von Microsoft gibt es auch ein Post-Quantum OpenVPN
https://github.com/Microsoft/PQCrypto-VPN

Man weiss ja nie ;)

Re: OpenVPN Verschlüsselungsparameter

Verfasst: 04.10.2018 10:33:11
von uname
Vielleicht kannst du ja sicherheitshalber einen SSH-Tunnel wie Debiansshuttle durch dein OpenVPN ziehen ;-)

https://sshuttle.readthedocs.io/en/stable/usage.html
Alle Zeiten sind UTC+01:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/