Wie behebt man die Logjam-Sicherheitslücke in der OpenVPN-Serverkonfiguration?

Die Angriffe wirken sich nur sehr begrenzt auf OpenVPN aus, weil:

1. OpenVPN empfiehlt Benutzern, ihre eigene DH-Gruppe mit „openssl dhparam“ zu erstellen, anstatt gemeinsame Gruppen zu verwenden. Die Manpage/Beispiele stellten früher 1024-Bit-DH-Schlüssel bereit (kürzlich auf 2048 aktualisiert), und obwohl 1024-Bit-DH-Parameter gebrochen werden können, ist das immer noch sehr teuer. Wahrscheinlich zu teuer für Ihre Daten, wenn Sie die Gruppe nicht mit anderen teilen.
2. OpenVPN unterstützt keine EXPORT-DH-Parameter und daher ist der TLS-Rollback-Angriff auf OpenVPN nicht anwendbar.

Um auf Nummer sicher zu gehen, verwenden Sie DH-Parameter von mindestens 2048 Bit. Das Aktualisieren von DH-Parametern ist einfach und erfordert nur eine Änderung auf dem Server. Generieren Sie neue Parameter beispielsweise mit

$ openssl dhparam -out dh3072.pem 3072

Aktualisieren Sie dann Ihre Serverkonfiguration, um diese neuen Parameter zu verwenden

dh dh3072.pem

und starten Sie den Server neu.

Kurz gesagt können die folgenden Punkte als Referenz verwendet werden:

• Stellen Sie sicher, dass der DH-Parameterschlüssel größer als 2048 Bit ist. Andernfalls muss er neu generiert werden.
• Stellen Sie sicher, dass die tls-cipherEinstellung in der OpenVPN-Konfigurationsdatei nicht überschrieben wird, oder dass, falls dies der Fall ist, keine schwachen und exportfähigen Chiffren enthalten sind. (Wenn es in der Konfiguration überhaupt nicht definiert ist, kann die Liste der unterstützten Chiffren für die installierte OpenVPN-Version mit der Befehlszeile überprüft werden: openvpn --show-tls.
• Stellen Sie sicher, dass die neueste Version von OpenSSL installiert ist. Derzeit ist dies 1.0.2a. Die Export-Chiffre-Funktionalität ist in dieser Version deaktiviert, ermöglicht aber weiterhin die Verwendung schwächerer DH-Schlüssel.

PS: Ich schrieb eineBlogeintragdarüber, wo es heißt, dass es sich um die erweiterte Version des oben angegebenen tl;dr handelt.