Открытие того, что американское и британское правительства взломали SSL/TLS, оставляет много вопросов для будущего OpenVPN. Проект не может быть продолжен, основываясь на небезопасном протоколе. Будет интересно посмотреть, как это все закончится в будущем. Очевидно, что это новейшее открытие означает, что не может быть уверенности в способности OpenVPN поддерживать конфиденциальную и безопасную связь для пользователей. Есть идеи, как это исправить? Можем ли мы использовать наше собственное шифрование в OpenVpn для дополнительной безопасности? Если да, то как?
1 ответ
Откровение о том, что американское и британское правительства взломали SSL/TLS
Они не "взломали" его достаточно, чтобы сделать его непригодным для использования. Они злоупотребляли ошибками, которые были исправлены давно - некоторые из них были ошибками в отдельных библиотеках TLS, но протоколы также могут получать обновления, например, как безнадежно сломанные WEP и SSLv2 были обновлены до WPA и SSLv3, затем до WPA2 и TLSv1. Теперь у нас есть TLSv1.2 и очень скоро TLSv1.3.
Кроме того, SSL/TLS - это не просто протокол шифрования. Это уровень безопасности, который поддерживает несколько разных алгоритмов шифрования. Только некоторые из них, такие как RC4, были сломаны, но OpenVPN долгое время поддерживал другие, такие как AES или Camellia, которые по-прежнему безопасны.
Прямо сейчас AES еще не сломан; RSA еще не сломан; и DH еще не сломан.
Можем ли мы использовать наше собственное шифрование в OpenVpn для дополнительной безопасности? Если да, то как?
Нет. Почти в 100% случаев "проприетарное шифрование" только снижает безопасность. Процитируем закон Шнайера: «Любой может создать алгоритм, который он сам не сможет нарушить», и единственная причина, по которой он кажется безопасным, заключается в том, что он не прошел через тот же ад, что и AES и все остальное. Многие проприетарные алгоритмы шифрования упали в течение нескольких дней после первой публикации.