-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
E' da qualche settimana che ci sto sbattendo la testa, non riesco a
trovare niente in rete e nel forum di OpenVPN tutto tace, chiedo qui
nella speranza che qualcuno se ne sia gia' interessato in passato.
Sto cercando di fare un setup di OpenVPN usando crittografia a curve
ellittiche e SHA-512 per l'autenticazione. L'unica cosa che ho capito e'
che la versione di OpenVPN di default dei repo Debian/Ubuntu e'
orribilmente inadatta a gestire sia curve ellittiche che hash diversi da
MD5 o SHA1, quindi ho gia' scaricato e ricompilato l'ultima versione di
OpenSSL, e poi ho scaricato e ricompilato l'ultima versione di OpenVPN
specificando la nuova installazione di OpenSSL nel configure. Partendo
da queste premesse genero chiavi e certificati della CA, del server e
del client, con qualcosa tipo:
# generate EC private key for curve sect571k1, no point compression
# (to enable point compression, use "-conv_form compressed" )
openssl ecparam -out cakey.pem -name sect571k1 -text -genkey
# generate EC certificate with the above private key with SHA512
# (note that the -sha512 arg has no effect if using OpenSSL v0.9.8
# due to a bug, it will use SHA-1 instead)
openssl req -out cacert.pem -key cakey.pem -sha512 -x509 -new
# check that everything is OK
openssl x509 -text -in cacert.pem
Certificate:
...
*Signature Algorithm: ecdsa-with-SHA512*
Issuer:
...
Public Key Algorithm: id-ecPublicKey
EC Public Key:
pub:
02:3A:...
ASN1 OID: sect571k1
X509v3 extensions:
...
*Signature Algorithm: ecdsa-with-SHA512*
20:89:...
- -----BEGIN CERTIFICATE-----
MIJ...
...
ASd45g==
- -----END CERTIFICATE-----
Quindi la parte di generazione dei certificati con OpenSSL sembrerebbe
andare a buon fine... solo che poi non riesco a usare questi certificati
con OpenVPN... innanzitutto perche' nel server.conf non so che opzione
usare al posto di "dh", e poi perche' se anche passo a Diffie-Hellmann
classico per la cifratura, la connessione mi restituisce errori: "no
shared cypher". In generale pare che il supporto a curve ellittiche per
OpenVPN sia una cosa molto poco testata e non riesco a trovare
documentazione.
Per inciso, passando a certificati RSA4096+SHA512 tutto funziona alla
grande, quindi non e' un problema generico di setup della vpn.
Qualcuno sa darmi una mano?
- --
Tommaso Gagliardoni
GnuPG Key ID: 51D8DEB8
Fingerprint: DC10 0D2F 8F07 238D C5DB 63B8 0AEF 48C5 51D8 DEB8
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/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=S/1E
-----END PGP SIGNATURE-----
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
