Beantwortet: OpenVPN HMAC

rsa4096

Member
Ich frage mich warum in den ovpn Konfigurationen, gerade für CPU schwache Consumer Router, ein HMAC von SHA512 verwendet wird. Das finde ich etwas übertrieben zumal es überhaupt nicht notwendig ist. Eigentlich würden auch 160bit bzw. SHA1 ausreichen. Mit z.B. SHA1 würde auch die CPU nicht so sehr belastet werden, was wiederum den Durchsatz erhöhen würde.

Was die Sicherheit angeht: https://en.wikipedia.org/wiki/HMAC

The cryptographic strength of the HMAC depends upon the size of the secret key that is used. The most common attack against HMACs is brute force to uncover the secret key. HMACs are substantially less affected by collisions than their underlying hashing algorithms alone. Therefore, HMAC-MD5 does not suffer from the same weaknesses that have been found in MD5.
In 2011 an informational RFC 6151[11] was published to summarize security considerations in MD5 and HMAC-MD5. For HMAC-MD5 the RFC summarizes that – although the security of the MD5 hash function itself is severely compromised – the currently known "attacks on HMAC-MD5 do not seem to indicate a practical vulnerability when used as a message authentication code", but it also adds that "for a new protocol design, a ciphersuite with HMAC-MD5 should not be included".
 
Solution
hab ich getestet, brings nicht. sha512 vs sha254 macht quasi keine unterschied, selbst auf nem raspberry pi nicht.
Wenn du das schneller willst nimm die config mit AES-128 vs AES-256, das bringt was.

Grüße
Lars
hab ich getestet, brings nicht. sha512 vs sha254 macht quasi keine unterschied, selbst auf nem raspberry pi nicht.
Wenn du das schneller willst nimm die config mit AES-128 vs AES-256, das bringt was.

Grüße
Lars
 
Solution
Back
Top