For a long time, we used the secp256k1 curve (as on the Bitcoin network) to connect to the OpenVPN server using elliptical cryptography. And it works well.
Control Channel: TLSv1.2, cipher TLSv1 / SSLv3 ECDHE-ECDSA-AES256-GCM-SHA384, 256 bit EC, curve: secp256k1
However, some software in the OpenSSL and OpenVPN bundle have compatibility issues.
Unfortunately secp256k1 is not supported by all OpenVPN clients by default.
The solution was found in replacing the elliptic curve with secp384r1.
This curve is supplied in many products: browsers, TLS, OpenSSL, LibreSSL and others.
Compatibility is much higher than before, and most importantly, cryptographic strength is higher!
As indicated above, in the comparison table, 256 ECC bits is the equivalent of 3072 bits of the RSA key and AES 128 bits of the symmetric encryption key.
The new secp384r1 curve used is 7680 bits for the RSA key. That allows it to be used to encrypt documents classified as "top secret."
All service clients using elliptical cryptography should update the configuration files.
You can download them at the link (ECC): https://multi-vpn.biz/files/ALL-OpenVPN.zip
In the OpenVPN connection log, the new curve looks like this:
Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-ECDSA-AES256-GCM-SHA384, 384 bit EC, curve: secp384r1
==============================
Эллиптическая кривая secp384r1 вместо secp256k1
Долгое время мы использовали кривую secp256k1 (как в сети Bitcoin) для подключения к OpenVPN серверу используя эллиптическую криптографию. И это хорошо работает.
Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-ECDSA-AES256-GCM-SHA384, 256 bit EC, curve: secp256k1
Однако, есть проблемы с совместимостью у некоторого программного обеспечения в связке OpenSSL и OpenVPN.
К сожалению secp256k1 поддерживается далеко не всеми OpenVPN клиентами по умолчанию.
Выход был найден в замене эллиптической кривой на secp384r1.
Данная кривая поставляется во многих продуктах: браузерах, подключении TLS, OpenSSL, LibreSSL и других.
Совместимость гораздо выше чем раньше, и самое главное - криптографическая стойкость - выше!
Как указано выше, в сравнительной таблице, 256 бит ECC является эквивалентом 3072 бит RSA ключа и AES 128 бит ключа симметричного шифрования.
Новая используемая кривая secp384r1 равняется 7680 бит ключу RSA. Что позволяет её использовать для шифрования документов с грифом "совершенно секретно".
Всем клиентам сервиса использующим эллиптическую криптографию, следует обновить файлы конфигурации.
Скачать их можно по ссылке (ECC): https://multi-vpn.biz/files/ALL-OpenVPN.zip
В логе подключения OpenVPN, новая кривая выклядит так:
Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-ECDSA-AES256-GCM-SHA384, 384 bit EC, curve: secp384r1
No comments:
Post a Comment