cipher strenght beim VPN Zertifikat

[Dr.Fred]

Hallo
Ich bekomme beim verbindungsaufbau per VPN eine Warnung zur Schlüssellänge, und zwar beträgt die nur 64 bit. Diese sind aber doch nicht mehr zeitgemäß. Gibt es eine Einstellung, wo man dies ändern und ein neues Zertifikat erzeugen lassen kann?

Viele Grüße

[comidio support]

Die Verschlüsselung selbst ist Standardmässig auf 2048 bit Schlüssel gestellt. Wir vermuten Sie meinen den den block cipher. Es wird standardmäßig BF-128 (blowfish) verwendet, so dass wir die Warnung nicht nachvollziehen können.

Man kann aber auf AES-128 umstellen, dann ist die Warning weg. Dazu muss das Zertifikat nicht neu erstellt werden.

Hier sind die Details dazu:

https://community.openvpn.net/openvpn/wiki/SWEET32

[Dr.Fred]

Hallo

und danke für die schnelle Antwort. Ja, es handelt sich in der tat um die block size, und hier wird auf dem Programm "OpenVPN für Android" Version 0.6.60 diese Warnung angezeigt.

[zenlib]

Bittte noch mal etwas ausführlicher für diejenigen unter uns, die mit Liniux nicht so ganz auf du und du sind.

This requires editting the cipher setting in all server and client configs

Also wie kann man bei der Trutzbox (serverseitig) die entsprechenden Änderungen vornehmen?

[comidio support]

1. mit ssh auf der TrutzBox einloggen oder in Webmin unter "System" -> "Kommandozeile" folgenden Befehl absetzen:

sudo bash -c 'if ! grep -q "^cipher AES-128-CBC" /etc/openvpn/server.conf; then echo "cipher AES-128-CBC" >> /etc/openvpn/server.conf; /etc/init.d/openvpn reload; fi;'

2. Im jeweiligen Benutzer-Zertifikat (das ovpn-file, das per trutzmail an die Clients verschickt wurde) die Zeile

cipher AES-128-CBC

einfügen.
Bitte darauf achten, dass ansonsten das ovpn-file nicht verändert wird.

3. Danach Verbindung mit VPN-Client neu aufbauen.


Ihr Comidio Support

[zenlib]

Besser spät als nie noch mal besten Dank, hat wunderbar geklappt!