OpenVPN:保护您的客户端密钥/证书/配置不被窃取?

OpenVPN:保护您的客户端密钥/证书/配置不被窃取?

我已经配置了 OpenVPN 安装。模式:多客户端1服务器。

客户都是覆盆子。我注意到偷锉刀是多么容易,然后在硬盘中查找密钥+证书+配置。将其复制到您的笔记本电脑上,然后连接 VPN...

我对此一无所知,有什么好方法可以防止这种情况发生?

磁盘加密 ?

谢谢。

答案1

除了极少数例外,如果有人手中有您的硬件,他们只需访问和复制整个存储就可以复制所有内容。

没有额外的加密可以提供帮助。如果对磁盘进行加密,则磁盘加密密钥必须在某处可读。磁盘加密在您的场景中毫无用处。

有些硬件无法轻易复制,例如智能卡。然而,即使您将智能卡读卡器连接到 RPi,小偷也可以用 Pi 窃取卡。

如果 SD 卡已加密,您可以防止有人窃取(或借用)Pi 或 SD 卡并且小偷无法拿到钥匙。这意味着您或您信任的人必须输入密码,或插入包含 USB 密钥加密密钥的 SD 卡,才能启动 Pi。这并不是完美的保护:有人可以转储 RAM,但由于 RAM 焊接在 Pi 上,因此这是一种相对困难的硬件攻击。如果您的 RPi 预算有限,您可能不需要那么高的阻力。

有一些具有集成防篡改密钥存储的硬件平台:全员生产管理在 PC 平台上,ARM 片上系统信任区和硬件信任根(TrustZone 单独作为 CPU 功能是不够的)。硬件成本比 Raspberry Pi 高一个数量级。请注意,即使这些系统也无法防止盗窃;它们只会阻止窃贼复制客户端设备。

另一种保护途径是物理保护:将设备放入安全固定在建筑固定装置上的上锁盒子中。

如果您无法阻止对手物理访问客户端设备,那么您就无法阻止他们窃取您的密钥。您所能做的就是尝试检测盗窃行为。例如,如果多个客户端出现相同的客户端证书,则肯定有问题(但如果您无法分辨哪一个是合法的,您将面临一个艰难的决定:允许所有客户端访问,还是拒绝合法客户端的访问)。

答案2

生成密钥时,您可以设置这些密钥的到期日期。假设合法用户可以更新其设备上的客户端密钥,您可以将密钥设置为在相对较短的时间后过期。如果设备被盗,这将限制潜在暴露的时间。

相关内容