Discussion :

[Hyt3k]

Bonjour

J'ai installé OpenVPN sur mon serveur CentOS 6.6.
Cela fonctionne, je m'y connect avec succès via un Mac et le client TunnelBlick.

Par curiosité et bien comprendre le process, je me demande à quoi sert la clé diffie-Hellman ?
J'ai googlé mais je ne comprends pas son intérêt...

Note : j'ai généré mes .key/.crt pour mon serveur + mon client OSX + le CA.crt,
l'install nécessite aussi cette fameuse clé DiffieHelmann dh2048.pem.
Soit sous forme listée :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
-rw-r--r-- 1 root root 1769 25 mai   15:49 ca.crt
-rw------- 1 root root 1704 25 mai   15:49 ca.key
-rw-r--r-- 1 root root  424 25 mai   15:57 dh2048.pem
-rw-r--r-- 1 root root 5433 26 mai   14:58 mac_client.crt
-rw-r--r-- 1 root root 1163 26 mai   14:58 mac_client.csr
-rw------- 1 root root 1708 26 mai   14:58 mac_client.key
-rw-r--r-- 1 root root    3 26 mai   14:58 serial
-rw-r--r-- 1 root root    3 25 mai   16:25 serial.old
-rw-r--r-- 1 root root 5542 25 mai   15:55 server.crt
-rw-r--r-- 1 root root 1163 25 mai   15:52 server.csr
-rw------- 1 root root 1704 25 mai   15:52 server.key

Savez vous ?

[elssar]

Salut,

C'est assez complexe si on souhaite vraiment aller en profondeur. Mais en gros, tu as plusieurs groupes diffie-hellman, c'est une notion que tu retrouves pas mal sur IPsec et ton 2048.pem indique de qu'elle groupe il s'agit (ici le 14 il me semble)

Enfin bref, le client et le serveur s'échange mutuellement leurs clés partagé, le tout fournis un secret partagé.(et il faut les 2 clés pour trouver le secret). Une fois se secret établis, les deux côté utilisent d'autre algo (AES par exemple) pour encrypter et décrypter les données à partir de se secret. Mais c'est complétement indépendant de l'authentification de l'utilisateur.

Dans mon explication je passe sous silence pas mal de trucs (du style la négociation qui s'effectue au tout début, le processus mathématique derrière avec les modulo), après c'est à toi de voir si tu veux avoir de plus amples explications.

[Hyt3k]

Merci.

ton 2048.pem indique de qu'elle groupe il s'agit (ici le 14 il me semble)

Exact. C'est le 14.

J'ai suivi une vidéo sur le sujet. Oui, c est tres complexe.

Globalement, la paire clé/certif. de chaque "bout" du tunnel n'est que la base du cryptage.
On a "en plus" la clé DH qui vient s'ajouter au tout...