© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Tue, 6 May 2014, Christian Weisgerber wrote:
> On 2014-05-06, Peter Ross <Peter.Ross(at)alumni.tu-berlin.de> wrote:
>
>> FreeBSD-Handbuch sagt nichts über IPSec und RSA - ich muß dann wohl in den
>> Quellcode abtauchen]
>
> FreeBSD liefert von Haus aus keinen IKE-Daemon mit; dafür muss man
> racoon, isakmpd, o.ä. aus den Ports installieren.
Ja. Mit racoon habe ich schon gearbeitet, muß mal schauen, welche Optionen
es da gibt.
>> Soweit ich weiss, man kann z.B. RSA-Schlüssel für IPSec verwenden.
>
> Ja, für IKE. Typischerweise wird das mit X.509-Zertifikaten
> verkompliziert.
Es spricht an und für sich nichts dagegen, diese Infrastruktur parallel zu
verwenden (Stichwort: Sicherheit als Zwiebelmodell), aber ich möchte ihr
nicht als einzige vertrauen.
>> PGP verwendet ebenfalls RSA-Schlüssel.
>
> Ja. Die direkte Austauschbarkeit scheitert dann ggfs. an inkompatiblen
> Containerformaten und solchen Details.
Vielleicht, mal schauen.
>> Der Gedanke ist: Ich tausche mit einrm Vertrauten PGP-Schlüssel aus. Diese
>> sollen verwendet werden, um bei Bedarf einen VPN-Tunnel mit mir zu
>> ermöglichen.
>
>> Ist das möglich?
>
> Von einer praktischen Umsetzung habe ich noch nichts gehört.
Gut (oder nicht..) ich vermute langsam, soetwas gibt es nicht.
Warum eigentlich nicht?
Plan A ist, den PGP-Schlüssel direkt (sicher konvertiert) in IKE zu
benutzen,
Plan B der von Olli genannte Weg, irgendwas zu skripten, um die
"richtigen" Schlüssel für den Verbindungsaufbau PGP-verschlüsselt zu
bekommen.
Ich vermute (befürchte), Plan B bräuchte dann wieder ein noch nicht
existierendes Protokoll und einen Dienst, der das bereitstellt.
Olli Fromme schrieb:
> Ja natürlich, aber im zweiten Teil seiner Mail klang es so,
> als wolle er PGP genau für die Verschlüsselung der Session
> verwenden.
Nein, das war mißverständlich. Ich möchte den RSA-Schlüssel nur zum
Schlüsselaustausch verwenden.
Es grüßt
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 07 May 2014 - 02:13:52 CEST