Openvpn

OpenVPN,完美的前向保密密鑰是否需要保密?

  • March 26, 2019

在我的 OpenVPN 伺服器上,我pfs.key使用命令生成一個文件(完美的前向保密)openvpn --genkey --secret pfs.key,在我的客戶端配置文件中它包含這個pfs.key文件(以及伺服器配置文件),所以我的問題是,給客戶端生成的pfs.key文件是否“安全” ? 即,在安全性方面,向客戶提供pfs.key文件是否有任何顧慮?

客戶端配置包括 pfs.key 文件,如下所示

tls-auth /path/to/pfs.key

如果您生成的密鑰easyrsa gen-dh正在tls-auth線路中使用,則您以錯誤的方式使用密鑰。

您生成的文件easyrsa gen-dh只需要通過dh dh.pem配置行添加到伺服器配置中。

https://security.stackexchange.com/questions/42415/openvpn-dhparam

參數只是素數,而不是鍵。它們不需要是唯一的或秘密的,但它們也不能是由攻擊者特製的。

您用於 tls-auth 的密鑰應該是使用類似的命令生成的openvpn --genkey --secret ta.key

https://community.openvpn.net/openvpn/wiki/Hardening#Useof--tls-auth

您用於的密鑰tls-auth應盡可能保密。連接的客戶端必須知道它,但您不想將它交給不應訪問的人。這是一個共享的秘密。OpenVPN實際上並不需要保證安全,它只是增加了一個額外的身份驗證層。

引用自:https://serverfault.com/questions/959944