Gostaria de fortalecer minhas configurações do OpenVPN. A rede é uma vpn de camada 3. Eu acredito que eles já são muito bons para os padrões de hoje e os postarei abaixo. Atualmente faço uso de aes-256-cbc, mas gostaria de aumentar os bits. É possível ter bits AES maiores que 256?
A configuração do cliente:
client
dev tun
proto tcp
remote example.zapto.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
auth SHA512
tls-version-min 1.2
cipher AES-256-CBC
comp-lzo
verb 3
A configuração do servidor:
port 1194
proto tcp
dev tun
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key
dh ./easy-rsa2/keys/dh4096.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.10.10.0 255.255.255.0"
keepalive 10 120
tls-auth ./easy-rsa2/keys/ta.key 0
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
auth SHA512
tls-version-min 1.2
remote-cert-tls client
cipher AES-256-CBC
comp-lzo
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
verb 3
A resposta curta é que aumentar o tamanho da chave não irá endurecê-la. AES 256 é considerado seguro. Não há ataques conhecidos significativos na criptografia AES, e mesmo o AES-128 é geralmente considerado seguro - não há ataques conhecidos que permitam uma recuperação de texto claro significativamente mais rápida do que a força bruta do AES.
E a força bruta é quase impossível. Mesmo com chaves de 128 bits e testando um bilhão de chaves por segundo, você está falando de trilhões de anos de computação para violá-lo.
Portanto, não tente fortalecê-lo aumentando o tamanho da chave. Essa é a árvore errada para latir.
Uma abordagem melhor seria garantir a privacidade do material chave. Use, por exemplo , Yubikeys para armazenar as chaves privadas dos certificados, para garantir que eles não possam ser copiados. Proteja a chave do certificado raiz com um HSM ou exclua-a depois de gerar o número necessário de certificados. Proteja a máquina host com AppArmour ou SELinux e certifique-se de que ela esteja em uma DMZ com regras de firewall claramente definidas que controlam o tráfego. E assim por diante.
Resumindo: focar no comprimento da chave é uma perda de tempo. XKCD#538 resume bem:
É muito improvável que as funções criptográficas sejam o elo fraco em sua configuração, e os problemas muito mais prováveis são configuração insegura ou software desatualizado ou até mesmo segurança física do dispositivo.
Você pode listar as cifras disponíveis no cliente e no servidor com:
Em 2018, na versão original do OpenVPN 2.4.4, você pode usar AES- 256 máx.
A resposta simples é não.
O
256in refere-se ao tamanho da chaveaes-256-cbcAES . Estou confuso sobre o que você quer dizer com o termo taxa de bits aqui. O AES pode ser implementado com os seguintes tamanhos de chave - 128/196/256 bits conforme mencionado nos padrões NIST aqui . Tamanhos de chave maiores correspondem a maior segurança no caso acima.O OpenVPN usa a biblioteca OpenSSL para fornecer os recursos de criptografia. A biblioteca OpenSSL fornece muitas cifras de chave simétrica. A maioria deles tem vulnerabilidades conhecidas. Dos seguros, apenas o RC5 oferece um comprimento de chave de até 2040 bits. No entanto, ainda é recomendado usar AES-256. Isso ocorre porque o AES derrotou as tentativas de criptoanálise de milhares de criptoanalistas por mais de 15 anos.