JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Autosave

This commit is contained in:
Jan Philipp Timme 2018-10-10 16:16:01 +02:00
parent d8cb209938
commit a00d847621
1 changed files with 9 additions and 6 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

15
MA-Inhalt.tex
View File

@ -623,19 +623,22 @@ Das gemeinsame Geheimnis für den Schutz des Datenkanals wird dabei über den du
Mit den in diese Absatz definierten Parametern soll die Kommunikation zwischen Clients und Server unabhängig von den verwendeten Betriebssystemen einheitlich geschützt werden.
Um Konfigurationsprobleme durch abweichende Konfiguration von Client und Server auszuschließen, werden alle folgenden Parameter in \textbf{Client- und Serverkonfiguration} eingetragen.
Sämtliche TLS-Kommunikation verwendet nach Empfehlung des BSI\cite[][Abschnitt 2.3]{bsi:tls-checkliste} TLS-Version~1.2 oder höher.
Die TLS-Kommunikation wird nach Empfehlung des BSI über TLS-Version~1.2 oder höher durchgeführt\cite[][Abschnitt 2.3]{bsi:tls-checkliste}.
\begin{lstlisting}
tls-version-min "1.2"
\end{lstlisting}
In RFC~7525 wird die TLS-Chiffre \enquote{TLS-DHE-RSA-WITH-AES-256-GCM-SHA384} empfohlen\cite[][]{RFC7525}.
Laut BSI ist diese TLS-Chiffre für den Einsatz über das Jahr~2023 hinaus geeignet\cite[][]{bsi:tls-checkliste}.
Diese Chiffre wird für die Absicherung des Kontrollkanals verwendet.
Aus der Liste der in RFC~7525 empfohlenen Chiffren\cite[][Abschnitt 4.2]{RFC7525} wird die TLS-Chiffre TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 gewählt.
Diese Chiffre kann laut BSI\cite[][Kapitel 3]{bsi:tls-checkliste} durch Dienstanbieter optional unterstützt werden.
Die eng verwandte Chiffre TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 setzt \textit{Perfect Forward Secrecy} (PFS) mit ECDHE anstelle von DHE um und wird laut BSI für Dienstanbieter empfohlen\cite[][Kapitel 3]{bsi:tls-checkliste}.
\textbf{Anmerkung}: TLS-Chiffren mit Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven können im Rahmen dieser Arbeit nicht verwendet werden.
Grund dafür sind Kompatibilitätsprobleme zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}.
Somit wird die zuvor genannte TLS-Chiffre konfiguriert:
\begin{lstlisting}
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
\end{lstlisting}
\textbf{Anmerkung}: TLS-Chiffren mit Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven können nicht verwendet werden.
Grund dafür sind Kompatibilitätsproblemen zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}.
OpenVPN verwendet einen \textit{Keyed-Hash Message Authentication Code} (HMAC) mit einem zuvor ausgetauschen, gemeinsamen Geheimnis um für Daten- und Kontrollkanal eingehende Datenpakete vor ihrer Verarbeitung zu authentisieren.