在设置 DD-WRT 路由器以使用主要的 VPN 服务时,我偶然发现了一些似乎可能是一个重大弱点的东西,在从该公司得到极其缺乏答案之后,我想我会在这里问。
该服务规定使用 OpenVPN 协议,使用与所有人相同的用户证书和私钥,任何人都可以在其网站上下载。我的问题是:给定一个已知的用户私钥,是否有可能有人拦截 TLS 握手并获取底层加密的会话密钥 - 或者这是否会以任何其他方式削弱安全性?据我所知,TLS 中的临时加密可以防止这种情况发生,但如果没有保证服务器配置需要使用它,这是一个未知数,不能依赖。该服务声称正在使用“用户名密码验证等其他机制”,但据我所知,这与传输安全无关,仅用于向服务验证用户身份。OpenVPN 协议不需要用户证书,但这项服务要求客户使用相同的私钥,这一事实对我来说是一个巨大的危险信号。
答案1
分布式密钥是客户端证书,加密由服务器证书处理,服务器证书的私钥对服务器是私有的。当然,他们应该为每个用户提供一对私钥,但这不是必需的。基本用户/密码更容易受到暴力攻击。客户端证书用于身份验证而不是加密。