Re: [ml] Dubbio su VPN

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2006 ml@sikurezza.org
Soggetto: Re: [ml] Dubbio su VPN
Mittente: Angelo Dell'Aera
Data: Fri, 17 Feb 2006 12:40:00 +0100 (CET)

On Thu, 16 Feb 2006 22:35:09 +0100
Stefano Zanero <s.zanero@xxxxxxxxxxxxxxxx> wrote:

> Alessandro wrote:
> > Buongiorno,
> > avrei una domanda da porvi: per la prima fase di autenticazione
> > ipsec su VPN e meglio usare un certificato RSA a 2048 bit o una
> > presharedkey a 30 caratteri ?

> Fermo restando che il "meglio" in senso generale non esiste, un
> certificato RSA ha svariati punti a favore, il primo dei quali e' che
> e' diverso per ogni utente della VPN, e il secondo che e' revocabile
> in modo semplice.

Aggiungerei a quanto detto da Stefano anche il fatto che, nel caso in
cui sia possibile richiedere Aggressive Mode durante IKE phase 1, un
attaccante si ritroverebbe per le mani l'hash della PSK che potrebbe
provvedere a crackarsi comodamente offline. Certo se la PSK e' di 30
caratteri e' dura davvero ma personalmente non mi piace neanche l'idea
di lasciare aperta questa possibilita' teorica quando esistono soluzioni
decisamente migliori sotto questo punto di vista.

Saluti,

-- 

Angelo Dell'Aera 'buffer' 
Antifork Research, Inc.	  	http://buffer.antifork.org
Metro Olografix

PGP information in e-mail header

Attachment: pgpKcNWiogPHv.pgp
Description: PGP signature

In risposta a:
- [ml] Dubbio su VPN, Alessandro
- Re: [ml] Dubbio su VPN, Stefano Zanero

Data:
- precedente: [ml] slide infosecurity 06, Igor Falcomata'
- successivo: Re: [ml] Virus x Mac OS X ?, Stefano Zanero
- indice

Argomento:
- precedente: Re: [ml] Dubbio su VPN, Stefano Zanero
- successivo: Re: [ml] VPN tramite Proxy e HTTP, Fabio Panigatti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005