Piratpartiets mötesplattform


Svara
 
Ämnesverktyg Sök i det här ämnet Visningsalternativ
  (#1) Gammal
drRotmos Inte uppkopplad
 
Inlägg: 2
Reg.datum: May 2006
Standard Säkerheten i Relakks? - 2006-08-16, 11:47

Jag har kollat runt lite på Relakks, och blir genast tveksam när det gäller säkerheten. Ingenstans står det något om vad som används för protokoll och algoritmer, mer än att PPTP används, och att sessionen krypteras med 128-bits-nycklar.



Eftersom att det är PPTP så kan krypteringen bara vara MPPE, vilket är intressant, eftersom de skriver att inga amerikanska krypteringar används. MPPE kommer för det första från Microsoft, för det andra används RC4 som stream cipher (samma som i WEP, men det används så att det inte är sårbart mot en weak scheduling attack). RC4 kommer ifrån RSA Security som också är ett amerikanskt företag. Vad jag personligen tror att de menar är att implementeringen inte är amerikansk.



PPTP kan även använda sig av två autentikeringsprotokoll, MSCHAP-v2 eller EAP-TLS (intressant att notera att båda dessa är utvecklade helt eller delvis av amerikanska företag). Eftersom det inte verkar som om man får några klientcertifikat av Relakks så kan det (om inte jag har förstått det hela fel) inte vara EAP-TLS, utan det måste vara MSCHAP-v2.



När det gäller säkerheten på PPTP med MSCHAP-v2 hade Schneier (som ju är välkänd inom säkerhetsbranchen) et. al. följande att säga:

Citat:
Microsoft has improved PPTP to correct the major security weaknesses described in [SM98]. However, the fundamental weakness of the authentication and encryption protocol is that it is only as secure as the password chosen by the user. As computers get faster and distributed attacks against password files become more feasible, the list of bad passwords-dictionary words, words with random capitalization, words with the addition of numbers, words with numbers replacing letters, reversed words, acronyms, words with the addition of punctuation-becomes larger. Since authentication and key-exchange protocols which do not allow passive dictionary attacks against the user's password are possible-Encrypted Key Exchange [BM92,BM94] and its variants [Jab96,Jab97,Wu98], IPSec-it seems imprudent for Microsoft to continue to rely on the security of passwords. Our hope is that PPTP continues to see a decline in use as IPSec becomes more prevalent.


Artikeln detta är citerat ur finns att läsa på http://www.schneier.com/paper-pptpv2.html .



Så, stämmer det jag har gissat mig till? Att de använder PPTP med MSCHAP-v2 och MPPE? För det är sannerligen ingenting som jag skulle betala för att använda. Jag tycker överhuvudtaget att det är konstigt att man inte valde en mer vedertaget protokoll som IPSec, eller att man inte valde OpenVPN som ju är ett helt öppet protokoll.
   
Svara med citat
  (#2) Gammal
JOPS Inte uppkopplad
 
JOPSs avatar
 
Inlägg: 47
Reg.datum: Jul 2006

Länk: #46232
Standard RE: Säkerheten i Relakks? - 2006-08-16, 20:44

Citat:
drRotmos (2006-Aug-16)Så, stämmer det jag har gissat mig till? Att de använder PPTP med MSCHAP-v2 och MPPE? För det är sannerligen ingenting som jag skulle betala för att använda. Jag tycker överhuvudtaget att det är konstigt att man inte valde en mer vedertaget protokoll som IPSec, eller att man inte valde OpenVPN som ju är ett helt öppet protokoll.


Ja, det verkar stämma enligt deras FAQ men det verkar inte som om de låst sig till att endast tillåta PPTP framöver. Antagligen börjar de med PPTP eftersom det är enklast för Windows-folket att komma igång med det. Håller med om att IPSEC och OpenVPN är mer attraktiva lösningar.



Det finns ju förresten implementationer av PPTP och MPPE som är open source och GPL-licensierade också.
   
Svara med citat
Svara

Ämnesverktyg Sök i det här ämnet
Sök i det här ämnet:

Avancerad sökning
Visningsalternativ

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av


Liknande ämnen
Ämne Startat av Forum Svar Senaste inlägg
Säkerheten vid våra onlineröstningar mobboffer Färdigbehandlade frågor 19 2010-02-25 12:21
FRA förlorade dragkampen om it-säkerheten Denuviate PP i media 4 2010-02-03 10:48
Klimatförändringar hotar den nationella säkerheten Dennis Nilsson PP i media 1 2008-06-27 09:01
OpenID ordnar säkerheten på nätet. NineK PP i media 1 2008-02-20 12:37
"Vi förlorar kriget om IT-säkerheten" Anders Häggström PP i media 0 2006-12-14 16:36



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
vBulletin Skin developed by: vBStyles.com