Re: PGP und VPNs

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Tue, 6 May 2014 14:00:20 +1000 (EST)



On Mon, 5 May 2014, Oliver Fromme wrote:



> Peter Ross wrote:


> > gibt es einen etablierten Mechanismus, um PGP-Schlüssel zum Aufsetzen


> > von VPNs zu verwenden?


>


> Vielleicht stehe ich gerade auf dem Schlauch, aber mir ist nicht


> ganz klar, wie Du das machen willst.  PGP verwendet asymmetrische


> Verfahren, gängige VPN-Lösungen wie OpenVPN hingegen verwenden


> symmetrische Schlüssel.



Soweit ich weiss, man kann z.B. RSA-Schlüssel für IPSec verwenden. Als 


Beispiel habe ich dieses Dokument von Cisco gefunden:



http://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/29780-r2r-ipsec-gre-rip.html



Ob FreeBSD das unterstützt, muß ich noch herausfinden. Es ist mir bis 


jetzt nicht über den Weg gelaufen.



[Bei IPSec wird zwischen "muß implementiert sein" und "darf implementiert 


sein" unterschieden, und der verwendete Mechanismus wird zum Beginn 


ausgehandelt, wenn Erinnerung und Verständnis mich nicht täuschen.. das 


FreeBSD-Handbuch sagt nichts über IPSec und RSA - ich muß dann wohl in den 


Quellcode abtauchen]



PGP verwendet ebenfalls RSA-Schlüssel.



> > Ich habe retroshare gesehen, interessant aus anderen Gründen, aber es


> > benutzt wohl OpenSSL auf Netzwerkebene, PGP lediglich auf


> > File-/Message-Ebene.


>


> Ja, weil die Verschlüsselung von Dateien und Nachrichten der


> eigentliche Zweck von PGP ist.  Wenn ich Dich richtig verstehe,


> möchtest Du gerne PGP als Stream-Cipher verwenden?  Das geht


> in der Form nicht.



Das wäre aber gut.



Wenn man ein auf "Web of Trust" basierte Infrastruktur aufbaut, wäre es 


gut, wenn man da VPN integrieren könnte.



> Du könntest natürlich theoretisch den VPN-Schlüssel mittels einer 


> PGP-verschlüsselten Nachricht bzw. Datei auf die andere Seite 


> kommunizieren.  Mit ein paar Skripten könnte man das automatisieren, 


> erfordert aber etwas Bastelei.



Ja. "Intelligenter" würde mir erscheinen, die PGP-Schlüssel, die ja 


RSA-Schlüssel sind, direkt zum Aufbau der VPNs zu verwenden.



http://tools.ietf.org/html/draft-ietf-ipsec-openpgp-01



sieht so aus, als wenn das zumindest angedacht war.



Der Gedanke ist: Ich tausche mit einrm Vertrauten PGP-Schlüssel aus. Diese 


sollen verwendet werden, um bei Bedarf einen VPN-Tunnel mit mir zu 


ermöglichen.



Der Aufbau sollte dabei weitgehend automatisch erfolgen.



"Irgendwie", glaube ich, bekomme ich das schon hin - aber wie am 


elegantesten?



Danmach sollte ein bestimmter Nutzer eine bestimmte IP-Adresse bekommen, 


ähnlich wie DHCP abhängig von der MAC-Adresse.



Dies ermöglicht auf einfache Weise Zugriffsfilterung, z.B. mittels VLANs 


und/oder Paketfiltern.



Desweiteren würde ich, basiert auf der Ebene des Vertrauens, den Zugriff 


stufenweise zu verwirklichen wollen.



Ist das möglich?



Es grüßt


Peter



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Tue 06 May 2014 - 06:00:45 CEST













search this site