Enhance
This commit is contained in:
parent
96b3b1ac94
commit
7cdb90e3b4
@ -623,7 +623,7 @@ Das gemeinsame Geheimnis für den Schutz des Datenkanals wird dabei über den du
|
|||||||
Mit den in diese Absatz definierten Parametern soll die Kommunikation zwischen Clients und Server unabhängig von den verwendeten Betriebssystemen einheitlich geschützt werden.
|
Mit den in diese Absatz definierten Parametern soll die Kommunikation zwischen Clients und Server unabhängig von den verwendeten Betriebssystemen einheitlich geschützt werden.
|
||||||
Um Konfigurationsprobleme durch abweichende Konfiguration von Client und Server auszuschließen, werden alle folgenden Parameter in \textbf{Client- und Serverkonfiguration} eingetragen.
|
Um Konfigurationsprobleme durch abweichende Konfiguration von Client und Server auszuschließen, werden alle folgenden Parameter in \textbf{Client- und Serverkonfiguration} eingetragen.
|
||||||
|
|
||||||
Sämtliche TLS-Kommunikation verwendet TLS-Version~1.2 oder höher.
|
Sämtliche TLS-Kommunikation verwendet nach BSI-Empfehlung\cite[][Abschnitt 2.3]{bsi:tls-checkliste} TLS-Version~1.2 oder höher.
|
||||||
\begin{lstlisting}
|
\begin{lstlisting}
|
||||||
tls-version-min "1.2"
|
tls-version-min "1.2"
|
||||||
\end{lstlisting}
|
\end{lstlisting}
|
||||||
@ -637,13 +637,15 @@ tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
|
|||||||
\textbf{Anmerkung}: TLS-Chiffren mit Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven können nicht verwendet werden.
|
\textbf{Anmerkung}: TLS-Chiffren mit Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven können nicht verwendet werden.
|
||||||
Grund dafür sind Kompatibilitätsproblemen zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}.
|
Grund dafür sind Kompatibilitätsproblemen zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}.
|
||||||
|
|
||||||
OpenVPN verwendet eine HMAC-Funktion mit einem zuvor ausgetauschen, gemeinsamen Geheimnis um für Daten- und Kontrollkanal eingehende Datenpakete vor ihrer Verarbeitung zu authentisieren.
|
OpenVPN verwendet einen \textit{Keyed-Hash Message Authentication Code} (HMAC) mit einem zuvor ausgetauschen, gemeinsamen Geheimnis um für Daten- und Kontrollkanal eingehende Datenpakete vor ihrer Verarbeitung zu authentisieren.
|
||||||
Die in der HMAC-Funktion verwendete Hashfunktion wird auf SHA-256 festgelegt.
|
|
||||||
|
Die im HMAC verwendete Hashfunktion wird auf SHA-256 festgelegt, weil SHA-1, trotz seiner weiterhin bestehenden theoretischen Eignung zur Verwendung in einem HMAC, laut BSI nicht mehr verwendet werden sollte\cite[][Abschnitt 1.4, Punkt 3]{bsi:tr-02102-1}.
|
||||||
\begin{lstlisting}
|
\begin{lstlisting}
|
||||||
auth SHA256
|
auth SHA256
|
||||||
\end{lstlisting}
|
\end{lstlisting}
|
||||||
|
|
||||||
Zur Verschlüsselung des Datenkanals kommt AES-256-GCM zum Einsatz.
|
Zur Verschlüsselung des Datenkanals kommt AES-256-GCM zum Einsatz.
|
||||||
|
Wird eine Chiffre mit \textit{Authenticated Encryption with Associated Data} (AEAD) gewählt, so wird die Authentisierungsfunktion der Chiffre anstelle der zuvor beschriebenen HMAC-Funktion für den Datenkanal benutzt\cite[][Option \texttt{--auth}]{man:openvpn}.
|
||||||
\begin{lstlisting}
|
\begin{lstlisting}
|
||||||
cipher AES-256-GCM
|
cipher AES-256-GCM
|
||||||
\end{lstlisting}
|
\end{lstlisting}
|
||||||
|
Loading…
Reference in New Issue
Block a user