[WL::Techniek] IPSEC / certs

Lodewijk Voege lvoege at gmail.com
Wed May 14 19:16:07 CEST 2008


2008/5/14 Richard van Mansom <richard at vanmansom.net>:

> Ik gebruik bij OpenVPN van een 2K key. Dit is aanzienlijk minder dan een
> shared key. Door dat met een 2K key te versleutelen zijn meer resources
> nodig dan een shared key. Is dit niet appel en peren vergelijken?

eh. bedoel je een 2048bits key? dat is meer dan een shared key, niet
minder. maar inderdaad, dat is appels en peren vergelijken. die
2048bits is voor een public-key algoritme, en het enige wat daarmee
gebeurt is dat er een gegenereerde (128bit of 256bit) shared key mee
wordt versleuteld. de data die daadwerkelijk over de lijn gaat wordt
nooit met een public key algoritme versleuteld, dat zou *veel* te
zwaar zijn.

dat werkt overigens overal zo waar public key algoritmes gebruikt
worden. ssl, ssh, pgp, openvpn, noem maar op. het enige met over
public key algoritmes gebeurt is het onderhandelen over de
symmetrische sleutel (welk algorithme, hoeveel bits, etc), de data
wordt vervolgens met dat veel snellere symmetrische cipher
versleuteld.

> De tunnel werkt voor ik racoon en ipsec enable.

dan heb je nu twee dingen in parallel draaien, een gewone niet-IPsec
tunnel en een IPsec tunnel. voor je iets IPsec doet zou er niets van
tunnels actief moeten zijn.

kan je een precieze reeks stappen posten die je gebruikt?

Lodewijk


More information about the Techniek mailing list