From 488089aa2e272e95b3bb6b8e834211d066500eb8 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Sun, 4 Nov 2018 22:32:41 +0100 Subject: [PATCH] I hope that part really convinces people --- MA-Inhalt.tex | 4 +++- 1 file changed, 3 insertions(+), 1 deletion(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 6b9a29a..3510a81 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -671,7 +671,7 @@ Potentielle Konfigurationsfehler bei Client oder Server verhindern den Sitzungsa Sollten die hier gewählten, kryptografischen Parameter (einzeln oder insgesamt) nicht mehr als sicher gelten, so sollen \textbf{alle} kryptografischen Parameter nach aktuellem Stand der Technik und unter Berücksichtigung der verschiedenen Clientbetriebssysteme neu ausgewählt werden. Dabei müssen alle VPN-Benutzer über die Änderung der Parameter benachrichtigt werden. Die Aktualisierung der Vorlage für die OpenVPN-Clientkonfiguration ist ebenfalls notwendig. -Der damit verbundene Arbeitsaufwand ist akzeptabel, weil alle kryptografischen Parameter für eine Laufzeit von 20 Jahren gewählt wurden, und die Eintrittswahrscheinlichkeit dieses Falls somit als gering eingeschätzt wird. +Der damit verbundene Arbeitsaufwand ist akzeptabel, weil alle kryptografischen Parameter für eine Laufzeit von 20 Jahren gewählt wurden, und die Wahrscheinlichkeit, dass die Parameter ausgetauscht werden müssen, als gering eingeschätzt wird. Eine alternativ mögliche, kontinuierliche Aktualisierung der kryptografischen Parameter unter Vorgabe der zur Aushandlung verfügbaren Chiffren in der Serverkonfiguration erscheint zunächst trivial: Eine neue, moderne Chiffre kann in der Serverkonfiguration zur Liste der erlaubten Chiffren hinzugefügt werden und wird nach einem Neustart des VPN-Servers von allen kompatiblen VPN-Clients sofort verwendet. @@ -685,6 +685,8 @@ Die Prüfung, ob alle erlaubten Chiffren noch ausreichend sicher sind, wird dadu Für einen Angreifer steigt die Angriffsfläche, da ältere VPN-Clients durch die Wahl einer älteren Chiffre von modernen Clients unterschieden werden könnten. Gleichzeitig können in einer VPN-Sitzung unterschiedliche Chiffren für den Schutz von Kontroll- und Datenkanal ausgehandelt werden, sodass die effektive Vertraulichkeit von der jeweils schwächeren Chiffre bestimmt wird. +Insgesamt bringt der Ansatz zur flexiblen Aushandlung und Anpassung von Chiffren mehr kontinuierlichen Arbeitsaufwand mit sich, während die statische Konfiguration der Chiffren für Klarheit in Bezug auf die verwendeten Parameter sorgt und im schlimmsten Fall, der nur sehr selten eintreten sollte, eine große Konfigurationsanpassung für alle VPN-Benutzer erfordert. +Deshalb wird die statische Konfiguration aller kryptografischen Parameter, und der damit verbundene Verzicht auf jegliche dynamische Aushandlung beim Sitzungsaufbau, für den VPN-Dienst gewählt. \section{PKI-Server} \label{sct:plan_pki_server}