Segurança e criptografia com o OpenVPN

0

O governo do Reino Unido está tentando implementar sistemas de ataque man-in-the-middle para capturar dados de cabeçalho em todos os pacotes. Eles também estão equipando as "caixas pretas" que usarão com a tecnologia para ver dados criptografados (veja a Ficha de Dados de Comunicação).

Eu uso uma VPN para aumentar minha privacidade. Ele usa o OpenVPN, que por sua vez usa as bibliotecas OpenSSL para criptografar dados. O governo conseguirá ver todos os dados passando pela conexão VPN?

Nota: o servidor VPN está localizado na Suécia, se isso fizer diferença.

    
por Chris Tenet 01.07.2012 / 14:26

2 respostas

1

A fatura dos dados de comunicação exige que os provedores de serviços mantenham registros. Não fornece descriptografia de conteúdo de dados.

Eu imagino que o GCHQ e o SIS têm maneiras de contornar sua segurança de VPN se assim o desejarem (embora possam precisar de uma ordem judicial para permanecer dentro da lei - RIPA, etc.).

    
por 01.07.2012 / 15:23
1

Se você assumir que eles não têm a capacidade de quebrar suas cifras (por padrão, blowfish e RSA), que seus próprios sistemas não são comprometidos e que o software usado não é backdoored, eles só poderiam atacar seu link enganando você para que aceite um certificado falso.

Você pode evitar isso usando uma chave estática (mas isso cria seu próprio conjunto de problemas de distribuição de chaves) ou certifique-se de que eles não possam obter um certificado falso. Se você depender de alguma autoridade de certificação, certifique-se de que a autoridade de certificação não emita certificados falsos ou ignore a autoridade de certificação e ancore sua confiança diretamente nos certificados que você conhece.

Você também deve certificar-se de que seus certificados usem uma função hash robusta (pelo menos sha256), porque se a CA permitir que terceiros solicitem certificados, um terceiro poderá tentar criar um par de certificados de colisão, um legítimo e um spoofing sua identidade e transplante a assinatura de um certificado para outro.

Você ainda precisa ter cuidado com seus comprimentos de chave. Em particular, 1024bits não são mais recomendados para RSA

    
por 01.07.2012 / 15:45