Wie OpenVPN Verschlüsselung nach dem ersten Verbindungsaufbau wechseln

M

manticorex2009

Neuling
Thread Starter
Mitglied seit
03.08.2009
Beiträge
14
Hallo!

Ich suche eine Möglichkeit einen Client einen öffentlichen RSA-Schlüssel mitzugeben und nach der ersten Verbindung diese in das schnellere AES zu wechseln. Also das dieser vom Server den neuen AES Schlüssel mitgeteilt bekommt. Wie könnte ich dieses Problem lösen?

--- edit ---

Die zertifikatbasierte Authentifizierung scheint das ganze schon so zu machen. Quelle: http://www.klehr.de/michael/files/_openvpn.html

Es wäre zwar schön zu verstehen wie die einzelnen Schritte TLS -> RSA -> AES direkt funktionieren. Aber dazu finde ich leider nichts und vermutlich kann mir das hier auch keiner beantworten.

Viele Grüße

manticore
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Public key crypto funktioniert mit zwei Schlüsseln, von denen der eine jeweils entschlüsseln kann, was der andere verschlüsselt hat. Damit kann man Daten verschlüsseln, was aber bei größeren Datenmengen wegen der Geschwindigkeit über den "Umweg" sym. crypto gemacht wird, d.h. 1) zufälligen key erzeugen 2) payload mit dem key und sym. Algorithmus verschlüsseln (z.B. AES) 3) sym. key mit dem public key verschlüsseln und alles zum Empfänger schicken. Der entschlüsselt den sym. key mit seinem private key und kann dann die Daten entschlüsseln. Außerdem kann man mit public key crypto signieren: 1) Hash der Daten bilden 2) Hash mit private key verschlüsseln und alles an den Empfänger schicken. Der kann mit dem public key den hash entschlüsseln und die Daten gegenchecken.

Die ganze PKI basiert jetzt nur darauf, dass quasi eine autoritative Stelle mit ihrem private key die public keys (und noch ein paar andere Informationen, die man im Zertifikat sieht, z.B. CN (common name), OU (organisational unit) etc.) anderer Leute signiert. Dein Browser hat wiederum die public keys dieser Stellen eingespeichert und mit ein bisschen Rumrechnen kann man so eine Kette aufbauen, wo man am Ende überprüfen kann, ob der public key des Servers, zu dem ich mich grade verbinden will, zu seinem Namen (CN) passt. Das aber nur am Rande. OpenVPN sollte man immer mit einer eigenen CA benutzen, denn im Ende vertraut man fremden CAs gezwungenermaßen nur, weil man anders wildfremde Server nicht überprüfen kann. Seine eigenen Server hat man aber unter Kontrolle und verzichtet daher auf Dritte.

Das ist quasi das Prinzip, was man grob verstehen muss. Als reiner User der Software reicht das auch. Irgendwelche Implementationsdetails musst du schon in der Software selbst nachsehen.
 
Hallo TCM,

die letzten Unklarheiten habe ich jetzt beseitigt. Vielen Dank für deine Antwort.

Grüße

manticore
 
Anmelden, um zu antworten.

Ähnliche Themen

J
OpenVPN Client auf Debian: Network is unreachable bei Verbindungsaufbau
Antworten
0
Aufrufe
460
justinh999
J
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh