Re: OpenVPN

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Ottobre 2002 ml@sikurezza.org
Soggetto: Re: OpenVPN
Mittente: tho
Data: 3 Oct 2002 11:35:00 -0000

antirez wrote:
> Pensavo che parlando di IPSEC fosse inclusa direttamente la parte
> IKE, altrimenti ci sono davvero pochi vantaggi ad utilizzarlo rispetto
> a qualcosa di diverso.

ci sono i vantaggi (e pure gli svantaggi) di avere una cosa 
in kernel space o anche piu' sotto (bump-in-the-wire) piuttosto
che in user land


> Per alcune applicazioni puo' essere utile, ma ... io non capisco
> che utilita' possa avere IKE in ambito VPN classica.

il problema si chiama key lifetime
 il rekeying e' un precetto in crittografia :-) e si applica in modo 
naturale anche ai canali cifrati

nello specifico di IPSec, quando il lifetime di una SA attiva decade 
e' possibile istanziare IKE per crearne una sostitutiva, oppure esigere 
l'inutilizzabilita' della stessa


> Hai sentito parlare di DNS-SEC? :)

e che PKIX no :-)))) 
in generale c'e' un problema nei comitati che dipende in maniera
proporzionale dal numero di partecipanti, dalla complessita' 
delle tematiche e dal numero di _grossi_ vendor che spingono in 
direzioni egoistiche o comunque protezionistiche


> Io mi permetto di rendere questa visione un po' piu' estrema
> perche' penso che non serva alcun meccanismo di key agreement
> nella maggior parte delle applicazioni che necessitano di un
> tunnel cifrato, e sappiamo benissimo ormai che i protocolli
> asimmetrici finiscono per avere una serie di problemi di sicurezza
> dovuti al fatto che l'implementazione e' complessa... a questo
> punto perche' non utilizzare un tunnel user space ben collaudato
> con un keyring statico, che non fa alcun uso della crittografia
> asimmetrica?

nel senso di risolvere proceduralmente le questioni che la 
crittografia asimmetrica risolve "automaticamente" (e.g. rekeying) ?

forse bisogna valutare l'opportunita' caso per caso

ad esempio per canali con tempo di vita medio proporzionato alla
dimensione delle chiavi e una policy di scheduling delle chiavi 
concordata dalle due parti (e.g. uno schema OTP) puo' essere
piu' che sensato 

la stessa cosa in altri contesti (e.g. non sai a priori chi c'e'
l'altra parte) diventa improponibile 


> Non ho nulla contro protocolli quali AH, e' tutta questa
> voglia di 'asimmetria' che mi lascia perplesso ;)

s/AH/IKE (giusto ?) 

io invece in generale ce l'ho a morte con i protocolli troppo 
complicati (anche perche' tocca spesso implemetarli) 

per contro l'asimmetria mi sembra un concetto molto elegante 
ma molto spesso male implementato

ciao, tho

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: OpenVPN, antirez

In risposta a:
- Re: OpenVPN, tho
- Re: OpenVPN, antirez

Data:
- precedente: Re: Terminal Server criptato, Igor Falcomata'
- successivo: Re: What Is palladium???, Michele Albrigo
- indice

Argomento:
- precedente: Re: OpenVPN, antirez
- successivo: Re: OpenVPN, antirez
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005