This commit is contained in:
Jan Philipp Timme 2018-10-10 16:38:38 +02:00
parent 93c3066e93
commit 43317f7a56

View File

@ -629,10 +629,12 @@ tls-version-min "1.2"
\end{lstlisting} \end{lstlisting}
Aus der Liste der in RFC~7525 empfohlenen Chiffren\cite[][Abschnitt 4.2]{RFC7525} wird die TLS-Chiffre TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 gewählt. Aus der Liste der in RFC~7525 empfohlenen Chiffren\cite[][Abschnitt 4.2]{RFC7525} wird die TLS-Chiffre TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 gewählt.
Diese Chiffre verwendet Ephemeral Diffie Hellman für den Schlüsselaustausch, RSA für die Authentifizierung, AES-256-GCM für die Verschlüsselung und SHA384 als Hashfunktion für den HMAC\cite[][Kapitel 5]{RFC5246}. Diese Chiffre verwendet \textit{Ephemeral Diffie Hellman} (DHE) für den Schlüsselaustausch\cite[][Abschnitt A.5]{RFC5246}, RSA als Signaturalgorithmus zur Authentisierung\cite[][Abschnitt A.5]{RFC5246}, AES-256-GCM für die Verschlüsselung und SHA384 als Hashfunktion für den HMAC\cite[][Kapitel 5]{RFC5246}.
Diese Chiffre kann laut BSI\cite[][Kapitel 3]{bsi:tls-checkliste} durch Dienstanbieter optional unterstützt werden. Durch die Verwendung von DHE kann \textit{Perfect Forward Secrecy} (PFS) gewährleistet werden\cite[][Abschnitt F.1.1.2]{RFC5246}.
Die eng verwandte Chiffre TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 setzt \textit{Perfect Forward Secrecy} (PFS) mit ECDHE anstelle von DHE um und wird laut BSI für Dienstanbieter empfohlen\cite[][Kapitel 3]{bsi:tls-checkliste}.
Die gewählte Chiffre kann laut BSI\cite[][Kapitel 3]{bsi:tls-checkliste} durch Dienstanbieter optional unterstützt werden.
Die eng verwandte Chiffre TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384 setzt PFS mit ECDHE anstelle von DHE um und wird laut BSI für Dienstanbieter empfohlen\cite[][Kapitel 3]{bsi:tls-checkliste}.
\textbf{Anmerkung}: TLS-Chiffren mit Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven können im Rahmen dieser Arbeit nicht verwendet werden. \textbf{Anmerkung}: TLS-Chiffren mit Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven können im Rahmen dieser Arbeit nicht verwendet werden.
Grund dafür sind Kompatibilitätsprobleme zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}. Grund dafür sind Kompatibilitätsprobleme zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}.