openVPN: Wie kann ich den Verschlüsselungsgrad der Verbindung ermitteln?

[t-frank]

Hallo,

gerade bin ich dabei

You do not have permission to view link please Anmelden or Registrieren

mal auszuprobieren - und bin soweit eigentlich auch sehr zufrieden, aber ... es wird auf der Seite nicht ganz klar, welche Verschlüsselung verwendet wird.
Auch, wenn man sich die config Dateien runterlädt, steht dort nichts drin, also kein "cipher AES-256-CBC" o.ä.

Ich hab dann mal den Support angeschrieben (und auch innerhalb von ca. 30 min. eine Antwort erhalten), und die meinten, das wäre schon ok so, dass in der client config nichts diesbezüglich drin stünde, das würde nur in der Server-config stehen. Aber es wäre auf jeden Fall eine 256 Bit Verschlüsselung.

Jetzt habe ich mir mal die openVPN "Log Information" angeschaut und dort steht in Richtung Encryption/Decryption folgendes:

Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Kann mir da mal jemand ein wenig Hilfestellung geben, ist das jetzt eine anständige 256 Bit Verschlüsselung oder nicht?
Bzw. wie könnte ich das sonst noch erkennen?

 

[MrNice]

Ohne Angabe des cipher wird BF-CBC benutzt, mit keysize lässt sich die Stärke auf 256 setzen, aber nur wenn am Server auch die Option gesetzt ist.

Zu deinem Log:
Der verwendete Cipher für En/DeCrypt des "Data Channel" ist Blowfish-CBC mit 128 bit keysize.
Packet-Auth wird per SHA1 geprüft, das max wäre SHA512.
Im Control Channel steht, dass nur mit 1024 bit RSA Zertifikate benutzt werden. Besser wäre 2048 oder 4096.

Auszug von woanders: (ovpn.to)

Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Data Channel Encrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Data Channel Decrypt: Using 512 bit message hash 'SHA512' for HMAC authentication
Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 4096 bit RSA

Infos zum Control / Data Channel:

Control channel
The Control channel acts both in the initial phase tasked with SSL/TLS handshake, including session starting, key exchange, cipher suite agreement, identity authentication, etc. and in the final phase of the connection, where some cleanups are necessary.
Because of the required connection-oriented transport layer of SSL/TLS handshake protocol, the Control channel itself must compensate for the disadvantage of the unreliable UDP transport layer by simply introducing packet acknowledgement, time-out and retransmission mechanism.. There are two message types in the OpenVPN Control channel, the P_CONTROL message type is a way to implement a TLS cipher packet needed to be encapsulated inside a reliability layer, and the reliability layer is implemented as a straightforward ACK and retransmit model implemented through the P_ACK message type.

Data channel
The Data channel, established after the SSL/TLS handshake, is a connectionless UDP tunnel where there is no retransmission and ACK mechanism. The P_DATA message type represents encrypted, encapsulated tunnel packets that tend to be either IP packets or Ethernet frames which are essentially the "payload" of the VPN.

Link:

You do not have permission to view link please Anmelden or Registrieren