Ssl
OpenVPN - 共享使用者私鑰的弱點?
在設置 DD-WRT 路由器以使用主要的 VPN 服務時,我偶然發現了一些看起來可能是一個重大弱點的東西,並且在得到公司的一個非常缺乏的答案之後,我想在這裡問一下。
該服務規定,OpenVPN 協議與每個人使用的相同使用者證書和私鑰一起使用,任何人都可以在其網站上下載。**我的問題是:給定一個已知的使用者私鑰,是否有人可以攔截 TLS 握手並獲得底層加密的會話密鑰 - 或者這是否會以任何其他方式削弱安全性?**據我所知,TLS 中的臨時加密可以防止這種情況發生,但不能保證需要使用它的伺服器配置,這是一個未知數,不能依賴。該服務聲稱正在使用“其他機制,例如使用者名密碼身份驗證”,但據我所知,這與傳輸安全無關,僅用於對使用者進行服務身份驗證。OpenVPN協議不需要使用者證書,但這項服務要求客戶使用相同的私鑰這一事實對我來說是一個巨大的危險信號。
分佈式密鑰是客戶端證書,加密由伺服器證書處理,其中私鑰是伺服器私有的。當然,他們應該給每個使用者一個私鑰對,但不是必需的。基本使用者/通行證更容易受到暴力攻擊。用於身份驗證而不是加密的客戶端證書。