Re: OpenVPN

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Ottobre 2002 ml@sikurezza.org
Soggetto: Re: OpenVPN
Mittente: Claudio Telmon
Data: 7 Oct 2002 23:47:29 -0000

Per quello che ne so, i problemi che dovresti risolvere con la 
crittografia asimmetrica sono principalmente due:
- scalabilità, se le comunicazioni sono da n a n; è chiaro che se la 
comunicazione è 1 a n, il problema può non porsi;
- impersonazione: se usi la stessa chiave simmetrica fra A e B, e fra A 
e C, in generale C può impersonare A nei confronti di B (il non ripudio 
a livello ipsec non credo sia un problema significativo); se usi chiavi 
diverse, vedi sopra.
IPSEC/IKE vuole essere una soluzione di uso generale, è chiaro che in 
configurazioni particolari (dieci portatili attaccati a un firewall) 
puoi costruirti soluzioni più semplici. Necessariamente, essendo una 
soluzione ad un problema specifico, sarà una soluzione meno (poco) 
portabile. Per inciso, portarsi in giro le chiavi con pgp mi sembra 
decisamente poco scalabile... e usi la crittografia asimmetrica senza 
sfruttarne (mi sembra) i vantaggi.
Per quanto riguarda lo user space, immagino che valgano le stesse 
considerazioni che si possono fare, nel bene e nel male, per uno stack 
tcp/ip in user space.

ciao

- Claudio

antirez wrote:
> On Fri, Oct 04, 2002 at 10:46:34AM +0200, Raistlin wrote:
> 
>>>perche' non utilizzare un tunnel user space ben collaudato
>>>con un keyring statico, che non fa alcun uso della crittografia
>>>asimmetrica?
>>
>>Forse perche' ti devi portare a spasso una chiave da cui dipende la
>>sicurezza del tunnel ? E ti posso assicurare che se l'altro capo del tunnel
>>sta a piu' di 50 metri da casa tua, diventa complessina come cosa :P
> 
> 
> Le chiavi le sposti con GPG/PGP. Il bello e' questo. La crittografia
> asimmetrica entra ancora in gioco, ma in un contesto in cui la sua
> complessita' implementativa non e' un grosso problema.
> 
> 
>>>Non solo in questo campo, anche ad esempio per le shell
>>>cifrate. E' banale scrivere una shell cifrata simmetricamente
>>>che offre molti meno spunti all'attacker
>>
>>Dici, a parte il fatto che se in qualche modo ottiene la chiave ha
>>automaticamente accesso a tutto cio' che stai trasmettendo ?
> 
> 
> La chiave di sessione?
> E' uguale nel caso di crittografia asimmetrica. In ogni caso c'e' il rekey.
> 
> La chiave sul lato client? E' protetta da passphrase, come la chiave
> privata nel caso di rsa/.*
> 
> La chiave sul lato server?
> Stanno leggendo i file di root, il che significa che se il resto
> del sistema e' configurato bene sono gia' dentro.
> 
> Ciao,
> Salvatore
> 


-- 

Claudio Telmon
claudio@telmon.org
http://www.telmon.org




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: OpenVPN, tho
- Re: OpenVPN, antirez
- Re: OpenVPN, Raistlin
- Re: OpenVPN, antirez

Data:
- precedente: Re: Grsecurity patch, Luca Berra
- successivo: Re: smtp auth with qmail, Rocco Celsi
- indice

Argomento:
- precedente: Re: OpenVPN, antirez
- successivo: Re: OpenVPN, valvoline
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005