2015-05-22
TLSの脆弱性「Logjam」のOpenVPNへの影響
今回の脆弱性はDHパラメータ(Diffie-Hellman parameter)に関連したものです。DHパラメータは暗号化接続の初期段階で、クライアントとサーバーが暗号鍵を共有するために使用されるもので、OpenVPNでも使用しています。脆弱性の内容としては前回の「FREAK」と類似しており、中間者攻撃によって暗号化の強度を下げさせ、通信内容の傍受や改ざんが可能になる、というものです。
この脆弱性の詳細については、piyologさんがいつものようにまとめてくださっていますので、そちらをご参照ください。
TLSの脆弱性ですので、「OpenVPNへの影響は...?」と気になるところですが、公式MLでのやり取りをまとめると、次のようになります。
- OpenVPNでは、サーバーセットアップ時に
openssl dhparamコマンドを使ってOpenVPN専用のDHパラメータを生成しているため、DHパラメータを別個に生成しない使用方法よりは安全といえる。 openssl dhparamコマンドの実行時に鍵長を 2048ビット以上にしていれば安全(こちらを参照)。1024ビットの場合は攻撃される可能性は否定できないが、それでも簡単ではない。- TLS-Authが有効になっていればこの種のTLSのダウングレード攻撃は回避できる。
最近はDHパラメータは2048ビット以上で生成するのが一般的ですし、OpenVPNではそれほど大きな問題にはならなさそうです。ただし、以前から使用しているサーバーなど、DHパラメータを1024ビット以下で生成している場合には2048ビット以上で生成し直し、設定を変更することをお勧めします。サーバー側だけの調整です。
openssl dhparam -out dh3072.pem 3072でDHパラメータファイルを生成し、設定ファイルを
dh dh3072.pemと変更して、OpenVPNサーバーを再起動します。
FREAKとは異なりOpenSSLの実装の問題ではないので、OpenVPNやOpenSSLのアップデートは必要はありません。
やはり「TLS-Auth最強!」ということですね。
Related Posts
![[続] シングルボードPC VPNパフォーマンス対決 - Raspberry Pi 2 参戦](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-2ExkxgqidFd3T7Jj5Vgykexi49SKannTaPFUTGhZmNRHWXmkdNPcncieTkpvPNChyphenhyphennBBPcKLXux5_FKWrxD7fZHk8AFT7_TrEgoiBNsjOGbgm5lgH4t0ajStKpEbEzG_XOldAtlcwV8/s72-c/Pi2.jpeg)
登録:
コメントの投稿
(
Atom
)
Popular Posts
-
「VPNっていろいろあるけど、OpenVPNのメリットって何?」 という疑問は多くの方が持たれますよね。この点は公式サイトなどにもいろいろ書かれているのですが、実際に使ってきたユーザー側としてメリットと思う部分をまとめてみました。 -
現在ダウンロードできるOpenVPNでは、今まで認証局の構築で使用していたeasy-rsaが含まれなくなっています。 OpenVPN.netのダウンロードページ にも Note that easy-rsa is no longer bundled with OpenVPN... -
Jan Just Keijser氏の記事「 Optimizing performance on gigabit networks 」については こちら でも概要を取り上げましたが、記事全体にいろいろなヒントが含まれていますので、全文の日本語訳を掲載しています。意訳している部分も... -
OpenVPNでは、接続してきたクライアントのVPNアドレスは動的に割り振られます(その際に割り振られる際のアドレス範囲はOpenVPNサーバー側設定ファイルに基づきます)。特定のVPNクライアントに特定のVPNアドレスを割り振りたい場合、OpenVPNでは以下の2つの方法で設定...
-
では、いよいよiPhone構成ユーティリティでVoDの設定をしてみましょう。あ、 前の記事 での準備はきちんとやっておいてくださいね! -
現時点においてはマニュアルやHowToにも記載されていない(ChangeLogにちょっとだけ出てきます)あまり知られていない機能なのですが、「設定ファイルで鍵ファイルや証明書ファイルのパスを記載する」という通常の方法とは別に、「鍵ファイルや証明書ファイル内のデータをそのまま設定フ...
-
前回 は2つのワンタイムパスワードの生成方法について取り上げました。今回はいよいよ実際の生成アルゴリズムを取り上げましょう。TOTPをベースに説明します(ただ、前回も解説したように、基本的なロジックはTOTPとHOTPで同じです)。 参考としてpythonのコードも併記してみま... -
OpenVPNはLinuxをはじめとした幅広いプラットフォームで動作実績があるのが特徴の一つです。 今回は、最近の電子工作ブームでも話題のシングルボードPC 3機種をOpenVPNサーバーとしてセットアップし、OpenVPNのVPNパフォーマンスを測定してみましょう。 ... -
前回 はワンタイムパスワードの基本的な仕組みについて説明しました。サーバー側とクライアント側で、それぞれ共通のルールに基づいてパスワードを生成させる必要があることを取り上げましたが、今回は OATH が規定しているその生成ルールについて具体的に説明します。 ワンタ... -
OpenVPNを使用している方ならよくご存知だと思いますが、通常OpenVPNでは証明書認証を使用します。証明書認証はID/パスワード認証に比較すると安全性が高いとされます(もちろん、秘密鍵の管理方法に大きく依存します)が、証明書認証の概念を理解しにくいユーザーが秘密鍵や証明...
0 件のコメント :
コメントを投稿