Openvpn com chave 128 bits

[gilmarcabral]

Ola a todos.

Eu utilizo aki openvpn e funciona perfeitamente, so que notei que a chave criada pela openvpn com o comando openvpn --genkey -secret chave.key, e gerada em 2048 bits.
Penso que nao presciso uma chave deste tamanho, pois presciso de velocidade entre os tuneis, e um chave grande ira consumir mais banda.
Alguem sabe como eu faco para gerar uma chave de 129 bits para ser usado na openvpn.
Olhei no man da openvpn la fala que posso usar o parametro keysize que posso usar 1024 mas o arquivo gerado continua 2048 e nao fica menor q isto.
Desde ja agradeco.

[candrecn]

Amigo, se for para usar chave 128bits, nem coloque chave!

Use sempre no mínimo 1024, além do mais, uma chave maior não irá consumir mais banda, as chaves ficam na ponta para decriptar/encriptar o tráfego que entra/sai. O que irá aumentar um pouco é o processamento das maquinas que irá fazer a criptografia.

[gilmarcabral]

Obrigado pela atenção.
Mas não e usado a chave para fazer a criptografia dos dados com isto os pacotes que sao passado pelo tunel nao fica maiores.

Desde ja agradeço

[Duca]

Citação:

Postado Originalmente por candrecn

Amigo, se for para usar chave 128bits, nem coloque chave!

Use sempre no mínimo 1024, além do mais, uma chave maior não irá consumir mais banda, as chaves ficam na ponta para decriptar/encriptar o tráfego que entra/sai. O que irá aumentar um pouco é o processamento das maquinas que irá fazer a criptografia.

Estamos falando do DH ou da chave?
Pois o DH padrão para openvpn eh 1024bits e a criptografia túnel varia entre 32 a 256bits, coma opção de não haver criptografia, quanto a chave vc pudar usar md5 ou sha1. Eu particularmente utilizo sha1.
Se eu estiver falando besteira, corrijam-me.

Ab, Duca.

[mistymst]

Exatamente, estamos falando da criptografia da troca de chaves (Diffie-Hellman) ou da criptografia do tunnel em si ? Existe uma certa diferença nas coisas a serem utilizadas. Vou dar o exemplo do OpenVPN e do IPSec.

No OpenVPN usando certificados digitais:
Usando DH 1024 bits e certificados digitais RSA 1024bits (usando md5+rsa)

No IPSec usando PSK (pre shared keys):
sainfo anonymous
{
pfs_group 2;
lifetime time 60 min;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate ;
}

Aqui eu uso o seguinte:
Para criptografar a autenticação eu uso MD5 e para a troca de chaves eu uso DH group 2 (1024bits) e para criptografar o tunnel de dados eu uso 3DES , e uso o PFS group 2 (que eh 1024 bits tbm).

Quando nos falamos de IPSec é bem mais facil entender o conceito, o OpenVPN é meio "capado" (ok outro nome mais bonito, ele mais simples) no processo de troca de chaves/criptografia/autenticidade/confiabilidade, então ele nao llhe oferece muitas perguntas, o tunnel é mais "simples" de se formar.

Captou?

[celineves]

Olá mistymst, gostaria de um help seu, tenho que implementar uma vpn aqui no trabalho e esta bem parecida com a sua, gostaria de saber como eu faço para criptografar o tunnel de dados com o 3DES? Sabe aonde eu posso encontrar alguma documentação sobre isso??

Obrigada!!!

[mistymst]

Bom, agora eu me perdi um pouco, eu estou no topico de openvpn mas falei de iPSec para ilustrar alguma fases do IKE.

Outro ponto é que eu nao aconselho a usar 3DES, eu realmente utilizo aqui pelo fato da outra ponta ser 3DES e os dados criptografados nao serem de conteudo realmente confidencial. (Ok quase arrisco a dizer que poderia ficar sem criptografia esse tunel, rsrsrs).

Agora detalhe melhor a sua duvida, o que seria de fato essa VPN? Porque eu simplesmente colei uma parte que envolvia o algoritmo de criptografia para 3DES mas uma VPN é bem mais do que isto.

[celineves]

A minha dúvida: É possível usar o openvpn com a criptografia 3DES. O meu problema é porque a outra ponta tb é 3DES...
Eu caí de para-quedas nisso e a vpn já esta configurada, mas eu tenho que alterar para esse tipo de criptografia.

[mistymst]

Bom, desde que eu me lembre.... OpenVPN funciona com certificados, e esses certificados sao os que são utilizados para criptografar, nao me lembro de ser possivel escolher a criptografia a ser utilizada visto que ela utiliza tudo baseado em certificados digitais, neste caso, o software se utiliza também do SSL/TLS para garantir a criptografia. E são utilizadas chaves RSA.

Nao me lembro de todos os detalhes... faz tempo que eu nao brinco com OpenVPN, e ele nao cai em nenhuma prova de certificacao (já que la so é cobrado IPSec mesmo... entao esse eu tenho um pouco de 'intimidade')

Verifique exatamente o que precisa, visto que caiste de para-quedas, assim como muitos de nós, então agora é so pegar a faca, arrumar a mochila e a "morfina" para eventuais ferimentos durante a batalha

[celineves]

É fazer o que né...rsrs

Eu tenho que fazer um túnel com um cliente, mas a criptografia deles é 3DES, vou começar do zero e tentar fazer com IPSec mesmo!!!
Valeu!!!!