Rudpla
Active Member
Aus einem Artikel zum Vergleich IPSec - OpenVPN: "Auf Seiten von OpenVPN ist hinsichtlich typischer Fallstricke die relativ hohe Nutzung von OpenVPN im „Pre-Shared Static Key“-Modus zu nennen. In Anbetracht der Tatsache, dass in diesem Modus ausschließlich statische Schlüssel zum Einsatz kommen, ist dieser OpenVPN-Modus verhältnismäßig häufig zu sehen. Es liegt daher die Vermutung nahe, dass dieser Modus eventuell missverstanden wird. Er ist deutlich von Pre-Shared-Keys im Zusammenhang mit IPsec zu unterscheiden. Während Pre-Shared Keys bei IPsec für die Authentifizierung benutzt werden, dienen die Pre-Shared-Static-Keys bei der Nutzung von OpenVPN ausschließlich zur statischen Verschlüsselung der Daten. Der Modus ist vollkommen losgelöst von SSL/TLS und ist zur deutlichen Unterscheidung eventuell besser mit "manual keying" zu bezeichnen, Die statischen Schlüssel werden vorab generiert und zusammen mit der Information, welches symmetrische Verschlüsselungsverfahren benutzt wird, auf jeder Seite installiert. Anschließend können die damit verschlüsselten Daten sofort versendet werden; ein Verbindungsaufbau, wie er bei SSL/TLS zur Generierung von geheimen Sitzungsschlüsseln durchgeführt wird, findet nicht statt. In den meisten Fällen wird dieser Modus als Alternative zur eher aufwendigen Erstellung von Zertifikaten verwendet. Von der Nutzung ist aus Security-Sicht jedoch abzuraten. Der Grund dafür ist zum einen, dass die geheimen Schlüssel vorab auf einem sicheren Weg installiert und auf beide Seiten verteilt werden müssen. Zum anderen werden die Schlüssel mit hoher Wahrscheinlichkeit selten geändert, so dass jede Verbindung dieselben Schlüssel verwendet. Bei einer Kompromittierung der Schlüssel kann jede Verbindung entschlüsselt werden, auch wenn sie in aufgezeichneter Form weit in der Vergangenheit liegt. Diese Vorgehensweise zur Errichtung einer sicheren Verbindung ist bei weitem nicht mehr zeitgemäß und erinnert eher an den Schlüsselaustausch in der Zeit vor der Erfindung des ersten asymmetrischen Verschlüsselungsverfahrens im Jahr 1977." (Quelle: http://www.all-about-security.de/se...artikel/15945-ipsec-versus-ssl-vpn/?tx_ttnews[articlePointer]=3&cHash=8769c4139f2ba8d028dd454e2523bf89)