Tamanho da chave de criptografia do openvpn

[mastellaro]

Boa tarde pessoal,


quando gero a chave da minha VPN ele gera um arquivo de 2048 bits...
# 2048 bit OpenVPN static key

eu gostaria de diminuir isso para 128... ou 256.... acho q estou tendo perda de desempenho....como posso proceder ??



A versao do meu openvpn é:
OpenVPN 2.0.9 i686-pc-linux [SSL] [LZO] [EPOLL] built on Sep 22 2007

A distribuiçao é o Fedora 7 com kernel 2.6.21-1.3194.fc7


Vlw

[mastellaro]

Será que ninguem nunca diminuiu o tamanho da chave ??

[mistymst]

Geralmente o OpenVPN usa certificados RSA de 1024 bits ou 2048 bits, e o overhead é pequeno na comunicação, dependendo do seu CPU.

Geralmente no *.conf do OpenVPN a gente define assim:

# Certificados gerados
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem

Para gerar o Diffie-Hellman é:
openssl dhparam -out dh.pem TAMANHO

Dependendo do tipo de chave que voce usa no certificado voce pode usar esses parametros:

-newkey rsa:bits generate a new RSA key of 'bits' in size
-newkey dsa:file generate a new DSA key, parameters taken from CA in 'file'

ou simplesmente -new para gerar um novo certificado com as confs padroes (geralmente 1024 bits).

A dica para voce é ver na documentação do 'openssl' a syntax para geração de certificados, que isso concerteza vai ajudar voce a decidir qual tipo de certificado voce ira gerar, utilizando o cipher que voce desejar.

Mas outra dica é que isso nao estara prejudicando o seu desempenho na minha opniao, ou por acaso voce tem um fluxo maior que 1000pps e esta rodando um pentium 3 800mhz com 128Mb ? Qual é seu hardware e quantos clientes voce esta atendendo, e quais sintomas voce acha que é esta "perda de perfomance" ? Voce já se realizou algum teste de desempenho no link, com e sem, a criptografia ?

[mastellaro]

Rapaz, o método de criptorafia que estou usando no openvpn nao é o de chave publica/chave privada...

eu apenas gero uma chave
openvpn --genkey --secret /etc/openvpn/chave

e copio ela pra minha filial....

mas achei interessante esse método que voce me passou e acho que com ele eu posso diminuir o tamanho da chave...

Sobre meus equipamentos e serviços... meu servidor que usa o openvpn é um P4 3.0 com 1gb de memoria... e roda o fedora 7
meu link é de 1mb... ADSL normal mesmo.... Quando coloquei o openvpn pra rodar, ficou jóia na primeira semana, nao deu problema nenhum.... mas depois que resolvi passar a replicaçao dos dados do sistema pela VPN começaram esses problemas de perda de pacote apenas dentro da VPN pela rede externa nao tem erro nenhum... por isso imaginei que poderia ser o tamanho da chave... além disso, andei pesquisando e todos falam que com chave muito grande, haverá perda de desempenho....

Em minhas pesquisas, descobri também que certos modens adsl travam quando o tráfego de UDP é muito grande.... entao imaginei que poderia ser isso... meu modem na época era um ZTE.... troquei por um Huawei, mas mesmo assim nao mudou nada... todo dia tem pelo menos uma travada...e como eu disse, resolvemos a "travada" reiniciando o modem.

Eu estou tentando de certa forma contornar esse problema... e a bola da vez, no meu ponto de vista, é o tamanho da chave...

Vou tentar fazer do modo que voce citou acima e ver o que dá...

Mas valeu kra....

[mistymst]

Bom, vamos lá, separar por partes:

1) Existe uma perda de desempenho sim, pequena, pois tem o overhead dos headers da vpn, e o tempo de cpu gasto para crypt/decrypt, enfim mas isso provavelmente é minino e insignificante pro seu link/cpu.
2) O model ADSL, realmente é triste quanto poem trafego pesado nele, MESMO sendo de jogo, ou aplicação. Os DLinks sao os primeiros a abrir o bico.... isso varia de modem para modem e configuração, acho que se arrumar um model adsl decente isso resolveria concerteza (um cisco serie 800 - modelo indicado para soho - com ic adsl é bom, mas caro hehe)
3) Um negocinho que pode estar juntando tudo isso e te dando muita dor de cabeça.... MTU. Pois lembre-se o MTU da Ethernet é 1500 bytes, e quanto voce toca o PPPoE se nao me falha a memoria cai para 1470... quando voce adiciona parece que cai para 1450 ou 1430 nao me lembro... sinceramente e nao quero fazer o calculo dos cabeçalhos agora então dependendo de como tiverem ocorrendo os pacotes na sua rede isso pode afetar significantemente o seu desempenho por causa da fragmentação.

Tenho um servidor de OpenVPN com 30 pontos mais ou menos... incluindo uns links de satelite no meio, e realmente é chato isso as vezes... mas infelizmente nao tenho nenhum link ADSL no meio para fundamentar praticamente o que eu te disse acima. O unico link ADSL que eu tenho é em casa e eu nao passei OpenVPN por ele... ainda.