[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Ottobre 2002 ml@sikurezza.org Soggetto: Re: OpenVPN Mittente: tho Data: 30 Sep 2002 22:12:11 -0000
antirez wrote: > Dal punto di vista della sicurezza, mi piacciono molto di piu' > le soluzioni che utilizzano la crittografia simmetrica in maniera > semplice e conservativa (ovvero cifratura simmetrica, HMAC, counter + > timestamp per evitare i replay attack) rispetto a FreeSwan/IPSec. ?! IPSec *fa* cifratura simmetrica (ESP) e autenticazione (ESP e AH) e l'autenticazione e' via HMAC entrambi i protocolli (ESP e AH) hanno un meccanismo anti-replay che si attiva a discrezione del receiver visto da qui IPSec e' semplice e conservativo, e pero' gli manca un pezzo fondamentale e cioe' un meccanismo di key agreement e' qui che finisce il bello di IPSec e incomincia IKE :-) fa un anno che IKE e' sotto riscrittura (causa bassissima soundness della specifica originale) e ancora non si e' arrivati ad una scelta tra IKEv2, JFK o una mescola dei due la cosa scioccante di IPSec e' che le specifiche non sono ancora mature nonostante siano almeno 10 anni che in IETF ci lavorano dietro concludo: dal punto di vista della sicurezza IPSec imho e' inusabile se non con keying statico: eseguire un daemon IKE vuol dire volersi male :-) > Inoltre cose quali openvpn girano completamente in userspace utilizzando > il TUN device che e' comune a linux, solaris e *BSD e non necessitano > di girare tutto il tempo da utente privilegiato. se ti riferisci ai vari isakmpd, racoon, etc sono d'accordo t ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005