OpenVPNの"BEAST" exploitについての見解
海外のいくつかのサイトで、SSLの脆弱性に関して取り上げられています(
Hackers break SSL encryption used by millions of sites など)。SSLを基盤としたVPNであるOpenVPNに対する影響が気になるところですが、作者であるJames YonanがOpenVPN MLの中でこの件について説明していますので、その概要をご紹介しましょう。
- 現時点において"BEAST" exploitの詳細は不明だが、おそらくはこの脆弱性は2004年に公開されている、SSL/TLS 1.0の初期化ベクタに関連した問題ではないかと考えられる。
- この脆弱性はSSLの全バージョンと、TLS 1.0に存在するもので、TLS 1.1以上についてはこの問題は存在しない(OpenVPNは現在TLS 1.0 を使用している)。
- この問題の回避策の一つとして広く採用されているのは、アプリケーション・データ・ストリームに空のフラグメントを追加する、というもので、この回避策はOpenSSL 0.9.6d (2002年5月)で実装されている。
- 結論として、OpenVPNが使用しているTLS 1.0には脆弱性が存在することは事実だが、OpenSSL 0.9.6d でこの問題の回避策が実装されていることから、現バージョンのOpenVPNではこの問題は存在しないことになる。
なお、9年前にOpenSSLで回避策が実装されているこの問題が今頃取り上げられているのはなぜか、という点について、Jamesは「OpenSSLにはこの脆弱性に対する回避策が実装されているが、ブラウザで広く使用されているSSL実装である
NSSには実装されていなかったからではないか」と述べています。NSSのリポジトリにもこの回避策が実装されましたが、
今年の7月になってからのことでした。
「VPNっていろいろあるけど、OpenVPNのメリットって何?」 という疑問は多くの方が持たれますよね。この点は公式サイトなどにもいろいろ書かれているのですが、実際に使ってきたユーザー側としてメリットと思う部分をまとめてみました。
現在ダウンロードできるOpenVPNでは、今まで認証局の構築で使用していたeasy-rsaが含まれなくなっています。 OpenVPN.netのダウンロードページ にも Note that easy-rsa is no longer bundled with OpenVPN...
Jan Just Keijser氏の記事「 Optimizing performance on gigabit networks 」については こちら でも概要を取り上げましたが、記事全体にいろいろなヒントが含まれていますので、全文の日本語訳を掲載しています。意訳している部分も...
では、いよいよiPhone構成ユーティリティでVoDの設定をしてみましょう。あ、 前の記事 での準備はきちんとやっておいてくださいね!
前回 は2つのワンタイムパスワードの生成方法について取り上げました。今回はいよいよ実際の生成アルゴリズムを取り上げましょう。TOTPをベースに説明します(ただ、前回も解説したように、基本的なロジックはTOTPとHOTPで同じです)。 参考としてpythonのコードも併記してみま...
OpenVPNはLinuxをはじめとした幅広いプラットフォームで動作実績があるのが特徴の一つです。 今回は、最近の電子工作ブームでも話題のシングルボードPC 3機種をOpenVPNサーバーとしてセットアップし、OpenVPNのVPNパフォーマンスを測定してみましょう。
前回 はワンタイムパスワードの基本的な仕組みについて説明しました。サーバー側とクライアント側で、それぞれ共通のルールに基づいてパスワードを生成させる必要があることを取り上げましたが、今回は OATH が規定しているその生成ルールについて具体的に説明します。 ワンタ...
OpenVPNを使用している方ならよくご存知だと思いますが、通常OpenVPNでは証明書認証を使用します。証明書認証はID/パスワード認証に比較すると安全性が高いとされます(もちろん、秘密鍵の管理方法に大きく依存します)が、証明書認証の概念を理解しにくいユーザーが秘密鍵や証明...