OpenVPN:保護您的客戶密鑰/證書/conf 不被盜?
我已經配置了 OpenVPN 安裝。模式:多客戶端1伺服器。
客戶是覆盆子。我注意到偷一把銼刀是多麼容易,然後在 HDD 中查找 key+cert+conf。將其複製到您的筆記型電腦上,然後連接 VPN…
我對此不以為然,有什麼好的方法可以防止這種情況?
磁碟加密?
謝謝你。
除了極少數例外,如果有人手中有您的硬體,他們可以複製所有內容,只需訪問和複製整個儲存。
沒有額外的加密會有所幫助。如果對磁碟進行加密,則磁碟加密密鑰必須在某處可讀。磁碟加密在您的方案中是無用的。
有些硬體不容易複製,例如智能卡。但是,即使您將智能卡讀卡器連接到 RPi,小偷也可以通過 Pi 竊取卡。
*如果 SD 卡已加密且密鑰對小偷不可用,*您可以防止有人竊取(或借用)Pi 或 SD 卡。這意味著您或您信任的人必須輸入密碼,或插入包含 USB 密鑰加密密鑰的 SD 卡,才能啟動 Pi。這不是完美的保護:有人可以轉儲 RAM——但由於 RAM 是焊接在 Pi 上的,因此這是一種相對困難的硬體攻擊。如果您的 RPi 預算有限,您可能不需要那種級別的阻力。
有些硬體平台具有集成的防篡改密鑰儲存: PC 平台上的TPM 、具有TrustZone和硬體信任根的ARM 片上系統(僅將 TrustZone 作為 CPU 功能是不夠的)。硬體成本比樹莓派高出一個數量級。請注意,即使這些系統也無法防止盜竊;他們只會阻止小偷複製客戶端設備。
另一種保護途徑是物理保護:將設備放入一個鎖緊的盒子中,該盒子牢固地固定在建築固定裝置上。
如果您無法阻止對手物理訪問客戶端設備,那麼您就無法阻止他們竊取您的密鑰。您所能做的就是嘗試檢測盜竊。例如,如果多個客戶端使用相同的客戶端證書,肯定有問題(但如果您無法分辨哪個是合法的,您將面臨一個艱難的決定:允許訪問所有客戶端,或拒絕訪問合法的客戶端) )。