Autosave
This commit is contained in:
parent
2fe706ea69
commit
04e9948701
@ -629,14 +629,14 @@ tls-version-min "1.2"
|
|||||||
\end{lstlisting}
|
\end{lstlisting}
|
||||||
|
|
||||||
Aus der Liste der in RFC~7525 empfohlenen Chiffren\cite[][Abschnitt 4.2]{RFC7525} wird die TLS-Chiffre TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 gewählt.
|
Aus der Liste der in RFC~7525 empfohlenen Chiffren\cite[][Abschnitt 4.2]{RFC7525} wird die TLS-Chiffre TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 gewählt.
|
||||||
Diese Chiffre verwendet \textit{Ephemeral Diffie Hellman} (DHE) für den Schlüsselaustausch\cite[][Abschnitt A.5]{RFC5246}, RSA als Signaturalgorithmus zur Authentisierung\cite[][Abschnitt A.5]{RFC5246}, AES-256-GCM für die Verschlüsselung und SHA384 als Funktion für Peudozufallszahlen für den HMAC\cite[][Kapitel 5]{RFC5246}.
|
Diese Chiffre verwendet \textit{Ephemeral Diffie Hellman} (DHE) für den Schlüsselaustausch\cite[][Abschnitt A.5]{RFC5246}, RSA als Signaturalgorithmus zur Authentisierung\cite[][Abschnitt A.5]{RFC5246}, AES-256-GCM für die Verschlüsselung und SHA384 als Funktion für Peudozufallszahlen für den \textit{Keyed-Hash Message Authentication Code} (HMAC)\cite[][Kapitel 5]{RFC5246}.
|
||||||
|
|
||||||
Durch die Verwendung von DHE kann \textit{Perfect Forward Secrecy} (PFS) gewährleistet werden\cite[][Abschnitt F.1.1.2]{RFC5246}.
|
Durch die Verwendung von DHE kann \textit{Perfect Forward Secrecy} (PFS) gewährleistet werden\cite[][Abschnitt F.1.1.2]{RFC5246}.
|
||||||
|
|
||||||
Die gewählte Chiffre kann laut BSI\cite[][Kapitel 3]{bsi:tls-checkliste} durch Dienstanbieter optional unterstützt werden.
|
Die gewählte Chiffre kann laut BSI\cite[][Kapitel 3]{bsi:tls-checkliste} durch Dienstanbieter optional unterstützt werden.
|
||||||
Die eng verwandte Chiffre TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 setzt PFS mit ECDHE anstelle von DHE um und wird laut BSI für Dienstanbieter empfohlen\cite[][Kapitel 3]{bsi:tls-checkliste}.
|
Die eng verwandte Chiffre TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 setzt PFS mit ECDHE anstelle von DHE um und wird laut BSI für Dienstanbieter empfohlen\cite[][Kapitel 3]{bsi:tls-checkliste}.
|
||||||
|
|
||||||
\textbf{Anmerkung}: TLS-Chiffren mit Ephemeral-Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven können im Rahmen dieser Arbeit nicht verwendet werden.
|
\textbf{Anmerkung}: TLS-Chiffren mit Ephemeral-Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven (ECDHE) können im Rahmen dieser Arbeit nicht verwendet werden.
|
||||||
Grund dafür sind Kompatibilitätsprobleme zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}.
|
Grund dafür sind Kompatibilitätsprobleme zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}.
|
||||||
|
|
||||||
Somit wird die zuvor genannte TLS-Chiffre mit DHE-Verfahren verwendet:
|
Somit wird die zuvor genannte TLS-Chiffre mit DHE-Verfahren verwendet:
|
||||||
@ -644,7 +644,7 @@ Somit wird die zuvor genannte TLS-Chiffre mit DHE-Verfahren verwendet:
|
|||||||
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
|
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
|
||||||
\end{lstlisting}
|
\end{lstlisting}
|
||||||
|
|
||||||
OpenVPN verwendet einen \textit{Keyed-Hash Message Authentication Code} (HMAC) mit einem zuvor ausgetauschen, gemeinsamen Geheimnis um für Daten- und Kontrollkanal eingehende Datenpakete vor ihrer Verarbeitung zu authentisieren.
|
OpenVPN verwendet einen HMAC mit einem zuvor ausgetauschen, gemeinsamen Geheimnis um für Daten- und Kontrollkanal eingehende Datenpakete vor ihrer Verarbeitung zu authentisieren.
|
||||||
|
|
||||||
Die im HMAC verwendete Hashfunktion wird auf SHA-256 festgelegt, weil SHA-1, trotz seiner weiterhin bestehenden theoretischen Eignung zur Verwendung in einem HMAC, laut BSI nicht mehr verwendet werden sollte\cite[][Abschnitt 1.4, Punkt 3]{bsi:tr-02102-1}.
|
Die im HMAC verwendete Hashfunktion wird auf SHA-256 festgelegt, weil SHA-1, trotz seiner weiterhin bestehenden theoretischen Eignung zur Verwendung in einem HMAC, laut BSI nicht mehr verwendet werden sollte\cite[][Abschnitt 1.4, Punkt 3]{bsi:tr-02102-1}.
|
||||||
\begin{lstlisting}
|
\begin{lstlisting}
|
||||||
|
Loading…
Reference in New Issue
Block a user