Jason

Asked: 2018-09-05 18:05:28 +0800 CST2018-09-05 18:05:28 +0800 CST 2018-09-05 18:05:28 +0800 CST

tls-crypt 和 tls-auth 之间的 OpenVPN 2.4 安全差异

772

我正在阅读和 tls-crypt 并且很好奇这会增加安全性并减少握手期间密钥被泄露的机会，并且它会提供比 tls-auth 更好的安全性吗？

也许有人可以更好地解释 tls-auth 和 tls-crypt 以及它们如何提高安全性？

我当前的客户文件：

client
tls-client
dev tun
proto udp
remote 1.2.3.4 9999
<ca>
</ca>
<cert>
</cert>
<key>
</key>
pull
auth-nocache 
cipher AES-256-CBC
keysize 256
compress lz4-v2
reneg-sec 36000
keepalive 30 120

1 个回答

Voted

Best Answer

Victor Wong
2018-09-05T20:25:11+08:002018-09-05T20:25:11+08:00
TLS 握手或多或少可以分解为以下步骤：

客户端将“客户端问候”连同客户端的随机值和支持的密码套件一起发送到服务器。

服务器向客户端响应“服务器你好”，以及服务器的随机值和选择的密码套件。

服务器将其证书发送给客户端进行身份验证。

客户端验证服务器身份。

客户端创建一个随机的预主密钥，并使用服务器证书中的公钥对其进行加密。

客户端将加密的预主密钥发送到服务器。

如果需要，服务器可以向客户端请求证书。

服务器和客户端都根据预主密钥生成会话密钥。

服务器和客户端现在可以使用会话密钥交换加密消息。

tls-auth 和 tls-crypt 的区别在于，从第 1 步开始，tls-crypt 将使用预共享密钥加密所有消息。

这提供了几个好处：

它隐藏了与 OpenVPN 服务器的 TLS 握手的初始化。当检测到并阻止 OpenVPN 协议签名时，这在某些情况下很有帮助。

它可以防止 TLS 拒绝服务攻击。使用 tls-auth 攻击者可以同时打开数千个 TLS 连接但不提供有效证书，从而阻塞可用端口。使用 tls-crypt，服务器将在第 1 步预先拒绝连接。

数据被加密两次，一次通过 tls-crypt，一次通过 TLS 会话。
14

Web Analytics