Владимир Ступин wrote:
Не производный, а случайный ключ, который генерируется прямо во время сеанса. Асимметричное шифрование излишне ресурсоёмкое, поэтому данные сеанса им не шифруются. Им шифруется только стадия обмена сеансовым ключом симметричного шифрования. Дальнейшее шифрование сеанса происходит без участия ключей ассиметричного шифрования.
Я так понял, что при коннекте клиента к openvpn, с использованием x.509 происходит:
1. "Использование" "tls-auth ta.key" для "для предотвращения DoS-атак и UDP port flooding", который хранится и на сервере и у клиента. (как используется ? Алгоритм пока непонятен.) 2. Авторизация по x.509 ( ключи х.509 никак не используются для шифрации трафика). Клиент проверяет, что его сертификат и серт клиента подписанны одним СА, и то что сертификата клиента нет в списке отозванных (при опции --crl-verify). 3. Пересылка клиенту производного от закрытого dh dh2048.pem (который, в отличие от ta.key хранится только на сервере) открытого ключа который используется для ассимитричного(!) шифрования, для пересылки сессионного ключа. 4. Генерация произвольного сессионного симметричного ключа сервером (видимо сервером, ведь клиент не обязан иметь библиотеку openssl ?) и пересылка его клиенту.
Это правильное понимание ?
OpenVPN пользуется именно библиотекой OpenSSL. Я думаю документацию нужно рыть там.
Кто-нибудь может посоветовать краткую, но глубокую доку (rus/eng) из серии "как это работает" (а не "что надо сделать, чтобы заработало") ?
В переведенной литературе находил много ошибок и несуразностей, часто одни и теже были скопированны.
Есть и неплохие доки: http://www.opennet.ru/base/sec/openssl_howto.txt.html http://www.bog.pp.ru/work/OpenSSL.html но про сессионные ключи я ненашел там информации. -- Sincerely, Nicholas