This commit is contained in:
Jan Philipp Timme 2018-10-10 16:16:01 +02:00
parent d8cb209938
commit a00d847621

View File

@ -623,19 +623,22 @@ Das gemeinsame Geheimnis für den Schutz des Datenkanals wird dabei über den du
Mit den in diese Absatz definierten Parametern soll die Kommunikation zwischen Clients und Server unabhängig von den verwendeten Betriebssystemen einheitlich geschützt werden. Mit den in diese Absatz definierten Parametern soll die Kommunikation zwischen Clients und Server unabhängig von den verwendeten Betriebssystemen einheitlich geschützt werden.
Um Konfigurationsprobleme durch abweichende Konfiguration von Client und Server auszuschließen, werden alle folgenden Parameter in \textbf{Client- und Serverkonfiguration} eingetragen. Um Konfigurationsprobleme durch abweichende Konfiguration von Client und Server auszuschließen, werden alle folgenden Parameter in \textbf{Client- und Serverkonfiguration} eingetragen.
Sämtliche TLS-Kommunikation verwendet nach Empfehlung des BSI\cite[][Abschnitt 2.3]{bsi:tls-checkliste} TLS-Version~1.2 oder höher. Die TLS-Kommunikation wird nach Empfehlung des BSI über TLS-Version~1.2 oder höher durchgeführt\cite[][Abschnitt 2.3]{bsi:tls-checkliste}.
\begin{lstlisting} \begin{lstlisting}
tls-version-min "1.2" tls-version-min "1.2"
\end{lstlisting} \end{lstlisting}
In RFC~7525 wird die TLS-Chiffre \enquote{TLS-DHE-RSA-WITH-AES-256-GCM-SHA384} empfohlen\cite[][]{RFC7525}. Aus der Liste der in RFC~7525 empfohlenen Chiffren\cite[][Abschnitt 4.2]{RFC7525} wird die TLS-Chiffre TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 gewählt.
Laut BSI ist diese TLS-Chiffre für den Einsatz über das Jahr~2023 hinaus geeignet\cite[][]{bsi:tls-checkliste}. Diese Chiffre kann laut BSI\cite[][Kapitel 3]{bsi:tls-checkliste} durch Dienstanbieter optional unterstützt werden.
Diese Chiffre wird für die Absicherung des Kontrollkanals verwendet. Die eng verwandte Chiffre TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 setzt \textit{Perfect Forward Secrecy} (PFS) mit ECDHE anstelle von DHE um und wird laut BSI für Dienstanbieter empfohlen\cite[][Kapitel 3]{bsi:tls-checkliste}.
\textbf{Anmerkung}: TLS-Chiffren mit Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven können im Rahmen dieser Arbeit nicht verwendet werden.
Grund dafür sind Kompatibilitätsprobleme zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}.
Somit wird die zuvor genannte TLS-Chiffre konfiguriert:
\begin{lstlisting} \begin{lstlisting}
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
\end{lstlisting} \end{lstlisting}
\textbf{Anmerkung}: TLS-Chiffren mit Diffie-Hellman-Verfahren auf Basis von elliptischen Kurven können nicht verwendet werden.
Grund dafür sind Kompatibilitätsproblemen zwischen OpenVPN und OpenSSL~1.1.x auf der Clientseite\footnote{Siehe \url{https://community.openvpn.net/openvpn/ticket/963}}.
OpenVPN verwendet einen \textit{Keyed-Hash Message Authentication Code} (HMAC) mit einem zuvor ausgetauschen, gemeinsamen Geheimnis um für Daten- und Kontrollkanal eingehende Datenpakete vor ihrer Verarbeitung zu authentisieren. OpenVPN verwendet einen \textit{Keyed-Hash Message Authentication Code} (HMAC) mit einem zuvor ausgetauschen, gemeinsamen Geheimnis um für Daten- und Kontrollkanal eingehende Datenpakete vor ihrer Verarbeitung zu authentisieren.