From a00d84762142bb9b541f6e695097c49d724bc81c Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Wed, 10 Oct 2018 16:16:01 +0200 Subject: [PATCH] Autosave --- MA-Inhalt.tex | 15 +++++++++------ 1 file changed, 9 insertions(+), 6 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 4bac5dc..6a8cc1b 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -623,19 +623,22 @@ Das gemeinsame Geheimnis für den Schutz des Datenkanals wird dabei über den du Mit den in diese Absatz definierten Parametern soll die Kommunikation zwischen Clients und Server unabhängig von den verwendeten Betriebssystemen einheitlich geschützt werden. Um Konfigurationsprobleme durch abweichende Konfiguration von Client und Server auszuschließen, werden alle folgenden Parameter in \textbf{Client- und Serverkonfiguration} eingetragen. -Sämtliche TLS-Kommunikation verwendet nach Empfehlung des BSI\cite[][Abschnitt 2.3]{bsi:tls-checkliste} TLS-Version~1.2 oder höher. +Die TLS-Kommunikation wird nach Empfehlung des BSI über TLS-Version~1.2 oder höher durchgeführt\cite[][Abschnitt 2.3]{bsi:tls-checkliste}. \begin{lstlisting} tls-version-min "1.2" \end{lstlisting} -In RFC~7525 wird die TLS-Chiffre \enquote{TLS-DHE-RSA-WITH-AES-256-GCM-SHA384} empfohlen\cite[][]{RFC7525}. -Laut BSI ist diese TLS-Chiffre für den Einsatz über das Jahr~2023 hinaus geeignet\cite[][]{bsi:tls-checkliste}. -Diese Chiffre wird für die Absicherung des Kontrollkanals verwendet. +Aus der Liste der in RFC~7525 empfohlenen Chiffren\cite[][Abschnitt 4.2]{RFC7525} wird die TLS-Chiffre TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 gewählt. +Diese Chiffre kann laut BSI\cite[][Kapitel 3]{bsi:tls-checkliste} durch Dienstanbieter optional unterstützt werden. +Die eng verwandte Chiffre TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 setzt \textit{Perfect Forward Secrecy} (PFS) mit ECDHE anstelle von DHE um und wird laut BSI für Dienstanbieter empfohlen\cite[][Kapitel 3]{bsi:tls-checkliste}. + +\textbf{Anmerkung}: TLS-Chiffren mit Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven können im Rahmen dieser Arbeit nicht verwendet werden. +Grund dafür sind Kompatibilitätsprobleme zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}. + +Somit wird die zuvor genannte TLS-Chiffre konfiguriert: \begin{lstlisting} tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 \end{lstlisting} -\textbf{Anmerkung}: TLS-Chiffren mit Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven können nicht verwendet werden. -Grund dafür sind Kompatibilitätsproblemen zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}. OpenVPN verwendet einen \textit{Keyed-Hash Message Authentication Code} (HMAC) mit einem zuvor ausgetauschen, gemeinsamen Geheimnis um für Daten- und Kontrollkanal eingehende Datenpakete vor ihrer Verarbeitung zu authentisieren.