OpenVPN, RAS, Diffie Hellmann

[Lalelu]

Hallo,

(sollte in der Überschrift natürlich nicht RAS sondern RSA heissen)

ich habe ein Verständnisproblem bei OpenVPN.

Vielleicht kann mir jemand auf die Sprünge helfen.

Ich denke sowohl mit RSA, als auch mit Diffie Helmann kann man Schlüssel sicher austauschen.

Nun benutzt OpenVPN, aber beides.

Könnte es sein, daß das Zertifikat mit RSA übertragen wird und dann die Sessionkeys mit Diffie Hellmann erzeugt werden?

Oder vielleicht wird RSA eben wegen der Authentifizierung benutzt, aber dann könnte man doch auch so die Sessionkeys übertragen und auf Diffie Hellmann verzichten. Denke ich zumindest.

Vielleicht kennt sich ja jemand aus..

Gruß

lalelu

Bearbeitet 25. März 2010 von Lalelu

[devBioS]

Hi Lalelu,

das Topic ist zwar schon nen Monat her, aber immerhin

Du hast schon recht, man könnte RSA alleine für die Regenerierung der Session Keys hernehmen, allerdings ist RSA beim Re-generieren von Keys mit gleichen Parametern recht langsam.

Und genau das macht OpenVPN: Es erstellt (standartmässig) jede Stunde einen neuen Sessionkey mit den gleichen Parametern wie auch in den vorherigen Sessionkeys benutzt wurden.

DH wiederum hat den nachteil keine Authentifizierung an sich zu unterstützen, damit hast du das Problem dass der Empfänger des keys nciht überprüfen kann ob der DH key während der Übertragung (-> Man in the Middle) geändert wurde.

Da DH wohl wesentlich schneller neue keys generieren kann, aber keine Authentifizierung unterstützt wird einfach ein mix genommen:

RSA zur Key-Authentifizierung und DH zur Key-Generierung.

Pdf Seite 19: http://www.sans.org/reading_room/whitepapers/vpns/openvpn-ssl-vpn-revolution_1459

Genau deine Frage in english: Re: [Openvpn-users] what are DH parameters for

Gruß