OpenVPN Elliptic Curve

Bevezetés

Teszteltem sok VPN szolgáltatót az utóbbi időben és azt kell mondjam, a csibVPN nincs lemaradva. Nagyon soknál még az ezeréves BF-CBC titkosítás van. Ráadásul van aki 1024-es RSA kulcsot használ (nem biztonságos), plusz a certeket CTRL+C CTRL+V módon generálta az üzemeltetőjük valami tutorial alapján…

Célunk

Célom, hogy az OpenVPN-t saját magam buildeljem EC kulcsokkal AES-256-GCM titkosítással, ami a jelenleg elérhető legjobb technolgia és csak az OpenVPN 3.4 feletti verziók tudják. Ez egyúttal hátulütő is, régi routerek nem lesznek így támogatva. Az EC kulcsokat elég kevés szolgálató használja, hiszen beállítani csak saját builddel lehet, valamint technikai tudás sem árt hozzá. Plusz a nagy szolgálatoknál macera, mivel a felhasználóknál lévő kulcsokat is le kell cserélni. Ez nálunk sem lesz másképp.

Megvalósítás

Az OpenVPN-t buildeltem mbdedTLS-el és tesztelés alatt áll (openssl lehet jobb lesz) a sebesség 5%-al több, ami nem túl combos, de a biztonság természetesen hatalmasat ugrott. A bevezetés elég macerás lesz, mivel ezeket bele kell írni a kliens programunkba is, és a konfigokat is frissíteni kell minden szerveren, valamint a weboldalon is. Jelenleg még tesztelés alatt áll, és akkor vezetjük be ha tényleg van is értelme. Ha csak 5%-ot gyorsulunk nem feltétlen éri majd meg a sok macera, de ha sikerül a megfelelő beállításokat hozzá megtalálni és esetleg 10-20%-ban is felgyorsulna a kapcsolat, nem kérdés, be kell vezetni.

Megéri bevezetni?

Mérlegelni kell,hogy a régi routereket ezzel ellehetetlenítjük, nem fognak tudni csatlakozni hozzánk, valamint sok iPhone sem tudja még. Ennek az enyhítésére bevezetünk PPTP és L2TP kapcsolatot is, amit a routerbe már gond nélkül belehet állítani. Tehát összességében úgy látjuk, megéri a bevezetést.