diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 994b0d2..649a680 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -623,7 +623,7 @@ Das gemeinsame Geheimnis für den Schutz des Datenkanals wird dabei über den du Mit den in diese Absatz definierten Parametern soll die Kommunikation zwischen Clients und Server unabhängig von den verwendeten Betriebssystemen einheitlich geschützt werden. Um Konfigurationsprobleme durch abweichende Konfiguration von Client und Server auszuschließen, werden alle folgenden Parameter in \textbf{Client- und Serverkonfiguration} eingetragen. -Sämtliche TLS-Kommunikation verwendet TLS-Version~1.2 oder höher. +Sämtliche TLS-Kommunikation verwendet nach BSI-Empfehlung\cite[][Abschnitt 2.3]{bsi:tls-checkliste} TLS-Version~1.2 oder höher. \begin{lstlisting} tls-version-min "1.2" \end{lstlisting} @@ -637,13 +637,15 @@ tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 \textbf{Anmerkung}: TLS-Chiffren mit Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven können nicht verwendet werden. Grund dafür sind Kompatibilitätsproblemen zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}. -OpenVPN verwendet eine HMAC-Funktion mit einem zuvor ausgetauschen, gemeinsamen Geheimnis um für Daten- und Kontrollkanal eingehende Datenpakete vor ihrer Verarbeitung zu authentisieren. -Die in der HMAC-Funktion verwendete Hashfunktion wird auf SHA-256 festgelegt. +OpenVPN verwendet einen \textit{Keyed-Hash Message Authentication Code} (HMAC) mit einem zuvor ausgetauschen, gemeinsamen Geheimnis um für Daten- und Kontrollkanal eingehende Datenpakete vor ihrer Verarbeitung zu authentisieren. + +Die im HMAC verwendete Hashfunktion wird auf SHA-256 festgelegt, weil SHA-1, trotz seiner weiterhin bestehenden theoretischen Eignung zur Verwendung in einem HMAC, laut BSI nicht mehr verwendet werden sollte\cite[][Abschnitt 1.4, Punkt 3]{bsi:tr-02102-1}. \begin{lstlisting} auth SHA256 \end{lstlisting} Zur Verschlüsselung des Datenkanals kommt AES-256-GCM zum Einsatz. +Wird eine Chiffre mit \textit{Authenticated Encryption with Associated Data} (AEAD) gewählt, so wird die Authentisierungsfunktion der Chiffre anstelle der zuvor beschriebenen HMAC-Funktion für den Datenkanal benutzt\cite[][Option \texttt{--auth}]{man:openvpn}. \begin{lstlisting} cipher AES-256-GCM \end{lstlisting}