Config - keysize 256

fip_01O526Eoc7 · 2012-01-03 04:38:00

Bonjour,

Est-ce qu'il y a un avantage (ou un désavantage) à ajouter la ligne "keysize 256" dans le fichier de configuration?

arcos · 2012-01-03 06:45:27

Salut , je pense que cela sert à éffectuer le cryptage d'une clé en 256bit .

fip_01O526Eoc7 · 2012-01-03 13:18:18

Bonjour,

Pourquoi est-ce inutile?

Ma question initiale est lié à un message que j'ai lu dans le forum de OpenVPN.net - excusez l'anglais :

====
Hint: be aware: only using "tls-cipher AES-256-CBC" isn't enough to totally encrypt your traffic 256 bits. This TLS cipher encrypts the control-channel. The datachannel is still BF-160. If you want EAS-256 for all the traffic, both server and client need the directive "keysize 256" in there configfile.

====

Ce que je comprend, c'est que sans l'ajout de la ligne "keysize 256" seul le canal de contrôle du VPN est crypté, et que l'ajout de la ligne "keyzize 256" assure également le cryptage des données qui transitent par le VPN. Comme les fichiers de config des serveurs de Freedom-IP contiennent la ligne suivante - cipher AES-256-CBC -, je me suis demandé si l'ajout de la ligne "keysize 256" aurait cet effet avec les serveurs de Freedom-IP. J'ai fait l'expérience avec l'un des serverurs - la connexion s'est faite normalement et le log n'affiche pas de message particulier. Cela ne veut toutefois pas dire qu'il y a vraiment un cryptage supplémentaire.

Qu'en est-il dans les faits? Est-ce que toutes les données qui passent par les serveurs de Freedom-IP sont cryptées à 256 bits? Le site mentionne un cryptage à 2048 bits, mais est-ce que cela ne concerne pas uniquement la clé?

Dernière modification par fip_01O526Eoc7 (2012-01-03 13:18:59)

Antonin · 2012-01-03 13:27:57

Bonjour,

La question m'intéresse aussi. Faut-il rajouter keysize 256 ? Attention toutefois : est-ce toujours d'actualité car il me semble que ce qui est cité date de ...2009 !
Si pour l'instant la majorité des membres ne risque rien quant à Hadopi puisque c'est uniquement un relevé d'IP, les futures moutures en 2012 inclurons sans doute le DPI (Deep Packet Inspection) et donc il faudra un cryptage le plus fort possible j'imagine de tout le trafic et pas seulement la clef ? Mais le cryptage (puisqu'il a bien un cryptage actuellement) BF-160 peut très bien suffire ? Mais openVPN depuis 2009 n'a t-il pas changé ??

Dernière modification par Antonin (2012-01-03 13:35:39)

Freedom-IP · 2012-01-03 13:38:51

fip_01O526Eoc7 · 2012-01-03 13:41:43

;-)
Je demeure au Canada, mes préoccupations sont donc différentes des vôtres - ici, il n'y a pas encore d'équivalent d'Hadopi. J'utilise Freedom-IP uniquement lorsque je suis branché sans fil à l'extérieur de chez moi, dans un café par exemple. C'est donc la force du cryptage des données qui m'intéresse plus particulièrement.

J'écrivais le présent message lorsque vous avez fourni vos explications. Merci de ces précisions supplémentaires. Donc, toutes les données (sauf la clé d'authentification, à 2048 bits) sont cryptées à 256 bits, c'est bien cela?

Dernière modification par fip_01O526Eoc7 (2012-01-03 13:48:00)

Antonin · 2012-01-03 13:56:32

Re,

D'après ce qui est écrit, oui. Le cryptage le plus fort & fonctionnel disponible civilement à ce jour est bel et bien appliqué aux données freedom-ip. smile
Maintenant gaffe à toi si tu fais n'importe quoi. Le FBI/SCRS peut TOUT décrypter... c'est juste une question de temps... et c'est parfois bcp plus rapide que ce qu'on peut imaginer !

Freedom-IP · 2012-01-03 14:02:57

Exactement Antonin,

Pour le moment, le supercalculateur le plus puissant du monde (c'est à dire au Japon) a une puissance de 8,162 PFlops avec plus de 68 544 Processeurs. Il prendrait plus de 2 ans et demi à décrypter le trafic avec une attaque de type brute force.

Avec un pc de bureau classique je ne fais pas le compte ^^ tongue mais bon, dans la sécurité il faut savoir que tout est cassable même la plus forte connexion de la NSA, après c'est une question de temps et d'argent.

fip_01O526Eoc7 · 2012-01-03 14:06:47

Ils interceptent des communications, certes, et sans doute des courriels, et ils obtiennent certainement la collaboration des fournisseurs d'accès s'ils le jugent bon, mais je ne suis pas convaincu qu'ils puissent tout décrypter, pas dans l'état actuel des choses, en tout cas.

Antonin · 2012-01-03 14:26:09

Hum, pour moi le plus dur ce n'est pas le décryptage mais l'interception... Il faut savoir que certaines sociétés qui proposent tel logiciel de cryptage ou autre OS, y compris opensource, peuvent décrypter très facilement, et sans bruteforce, simplement en faisant apparaître sur simple demande au logiciel la clef cryptée en clair... En 2 deux secondes quoi^^ Reste juste à intercepter le fichier avant... mais bon, je m'égare hein, rien de tout cela n'existe... bien évidemment...

Freedom-IP · 2012-01-03 14:37:40

Antonin · 2012-01-03 15:30:41

Re,

Il n'y a pas de « faille » en tant que telle dans AES 256bits , c'est juste qu'aucun moyen de cryptage n'est inviolable. Si ça prend 2 ans, ça prend 2 ans, mais ce sera cracké. fip_01O526Eoc7 est naïf. Il va bientôt voir les hommes en noir...^^
Ne pas oublier que le « vers » est déjà dans le fruit : par exemple soundminer et le cassage du cryptage A5/1 pour les GSM, clefs chiffrées X.509 dérobées pour les messageries, société Paladion capable de casser le protocole SSL, Clear Trail pour les flux HTTPS que l'on croit sécurisé, les nœuds du réseau TOR identifiés par des universitaires, etc. les exemples ne manquent pas. Donc les militaires spécialisés, ils font quoi ? Une belotte ? Lol.
Je vous laisse faire les recherches sur votre moteur de recherche (bridé) favori, si vous devez ne retenir qu'une chose : des backdoors au sein même de la pile IPSEC d'OpenBSD (opensource donc), gentiment déposées par le ...FBI dès 2000.
De là à supposer que le matériel qu'on utilise tous, chaque jour, est lui-même vérolé, ce serait de la parano bien sûr. Hein ?
Je rigole^^
Bref, le cryptage, l'anonymat, c'est juste et simplement un jeu du chat et de la souris. Seul le facteur temps fait apparaître l'information voulue. Soit dès le départ, soit en 2 secondes une fois l'interception réalisée, soit au bout de 2 ans. Je ne parle pas ici bien sûr des rigolos d'hadopi.
C'est marrant de voir les utilisateurs des réseaux P2P qui passent entre les mailles du filet et les anonymous, qui pourtant se croyaient bien protégés derrière leurs outils de cryptage et d'anonymisation dernier-cri, être arrêtés pour telle ou telle attaque... assez rapidement.

Freedom-IP · 2012-01-03 15:38:15

Très bien dit Antonin !

Après tout dépend du temps et de l'argent que vous avez !
On ne met pas le même système de cryptage entre l'ordre d'utilisation de l'arme atomique et le mailling de bonne année du président à ses ministres.

Tout dépend ce qui transite dans les tuyaux, après si vous êtes conscients du risque de surfer de manière classique sans aucun VPN, libre à vous ! ^^

Antonin · 2012-01-03 15:47:55

Exactement cher admin !

Il faut se donner les moyens de se protéger par rapport aux "chasseurs" précis. Contre certains chasseurs, l'informatique ne peut rien car tout est traçable (par définition).
Par contre le VPN freedom-ip nous protège largement d'Hadopi et nous rend d'autres services ! Il est crypté autant que possible, il est largement à la hauteur de VPN payants et même mieux. Et ceci gracieusement, encore merci.

benjaltf4 · 2012-01-03 19:37:28

Back2back · 2012-01-20 13:02:33

on a fait le tour de la question wink lock

Forum Freedom-IP VPN

Annonce

#1 2012-01-03 04:38:00

Config - keysize 256

#2 2012-01-03 06:45:27

Re : Config - keysize 256

#3 2012-01-03 13:18:18

Re : Config - keysize 256

#4 2012-01-03 13:27:57

Re : Config - keysize 256

#5 2012-01-03 13:38:51

Re : Config - keysize 256

#6 2012-01-03 13:41:43

Re : Config - keysize 256

#7 2012-01-03 13:56:32

Re : Config - keysize 256

#8 2012-01-03 14:02:57

Re : Config - keysize 256

#9 2012-01-03 14:06:47

Re : Config - keysize 256

#10 2012-01-03 14:26:09

Re : Config - keysize 256

#11 2012-01-03 14:37:40

Re : Config - keysize 256

#12 2012-01-03 15:30:41

Re : Config - keysize 256

#13 2012-01-03 15:38:15

Re : Config - keysize 256

#14 2012-01-03 15:47:55

Re : Config - keysize 256

#15 2012-01-03 19:37:28

Re : Config - keysize 256

#16 2012-01-20 13:02:33

Re : Config - keysize 256

Pied de page des forums