OpenVPN com Android 2.3.x - Preocupações de segurança -- 2.3-gingerbread campo com security campo com encryption campo com openvpn camp android Relacionado O problema

OpenVPN with Android 2.3.x - security concerns


6
vote

problema

português

Eu preciso usar meu telefone Android 2.3.x para acessar um servidor OpenVPN. Eu tenho cm 7 com suporte em suporte para OpenVPN e TUN. Minha principal preocupação é que eu não sei onde colocar as chaves dentro Se o meu telefone entrar nas mãos erradas, estou deixando as chaves abertas e não posso ter isso.

Se eu tivesse um telefone ICS, eu teria criptografia completa do sistema de arquivos e estaria segura (r). Então, há uma alternativa ou alguma técnica que eu não estou ciente de que pode armazenar os certificados e a chave firmemente no telefone?

english

I need to use my Android 2.3.x phone to access an OpenVPN server. I have CM 7 with built in support for OpenVPN and tun. My main concern is that I don't know where to put the keys in. If my phone gets in the wrong hands, I'm leaving the keys out in the open and I can't have that.

If I had an ICS phone, I'd have full file system encryption and I'd be safe(r). So is there an alternative or some technique I'm not aware of that can store the certificates and the key securely on the phone?

           

Lista de respostas

1
 
vote

Se você mantiver o servidor OpenVPN, poderá gerar chaves que exigem uma senha a ser usada. A técnica é descrita em http://openvpn.net/index. php / open-source / documentation / howto.html # pki .

Vá até a seção intitulada gerar certificados e amp; chaves para 3 clientes . Você vai querer usar o script abcdefghgjklmnabcdefghijklmn0 para gerar uma tecla protegida por senha. Isso impedirá que sua chave seja usada maliciosamente se o seu telefone cair nas mãos erradas, embora eu não esteja inteiramente seguro se a implementação OpenVPN do CM 7 o suporta.

Se você não tiver a capacidade de usar build-key-pass para gerar e registrar suas próprias chaves, não há realmente nenhuma maneira prática de garantir a segurança de sua chave sem criptografia completa. < / p >.

 

If you maintain the OpenVPN server, you can generate keys that require a password to be used. The technique is described at http://openvpn.net/index.php/open-source/documentation/howto.html#pki.

Scroll to the section titled Generate certificates & keys for 3 clients. You will want to use the build-key-pass script to generate a password-protected key. This will prevent your key from being used maliciously if your phone falls into the wrong hands, though I am not entirely sure if CM 7's OpenVPN implementation supports it.

If you don't have the ability to use build-key-pass to generate and register your own keys, then there is really no practical way to ensure the safety of your key without full-device encryption.

 
 
   
   
1
 
vote
vote
Melhor resposta
 

OK, eu pulei a arma aqui e fiz uma pergunta sem tentar as coisas primeiro. A solução é simples e muito segura. Primeiro, você cria uma chave de combinação PKCS12 no servidor que combina o certificado do servidor, o certificado cliente e a chave com openssl pkcs12 -export -in android.cer -inkey android.key -certfile ca.crt -name android -out certs.p12 . Durante o seu HAKTA, questiona uma senha descriptografar. Você é perfeitamente seguro transferir essa chave de combinação para o cartão SD. Em seguida, você importa que no armazenamento seguro do Android e, em seguida, você pode excluir a tecla PKCS12.

Depois disso, você é bom para ir, as chaves estão em uma tomada protegida por senha e, portanto, inacessíveis para qualquer outra pessoa. Fica sem dizer que você precisa proteger seu telefone com uma senha de desbloqueio.

 

OK, I've jumped the gun here and asked a question without trying things out first. The solution is simple and very secure. First, you create a PKCS12 combo-key on the server that combines the server certificate, the client certificate and key with openssl pkcs12 -export -in android.cer -inkey android.key -certfile ca.crt -name android -out certs.p12. During that you hafta issue a decrypt password. You're perfectly safe transferring that combo-key to the SD card. Next, you import that in the Android secure storage and then you can delete the PKCS12 key.

After that, you're good to go, the keys are in a password protected vault and thus inaccessible to anyone else. It goes without saying that you need to protect your phone with a unlock password.

 
 

Perguntas relacionadas

3  Conecte-se à rede local com o OpenVPN. Problema: Endereço IP local Unset, mas adicionando a rota?  ( Connect to local network with openvpn problem local ip address unset but addi ) 
o objetivo Eu quero conectar-se a alguns serviços (por exemplo, servidor de arquivos, câmera IP etc) na minha rede doméstica do meu celular usando VPN. Eu u...

1  Tun.ko para Samsung Intercept / Stock Froyo  ( Tun ko for samsung intercept stock froyo ) 
Eu tenho um Samsung Intercept, executando a VM Banco de Imagem - Froyo. Estou tentando conseguir o OpenVPN correndo nele. O telefone está enraizado, e eu tenh...

0  Como faço para amarrar com VPN no pirulito?  ( How do i tether with vpn on lollipop ) 
Como faço para a Tether com VPN no pirulito? Eu tenho raiz. Eu encontrei o seguinte guia, mas não entendo completamente as instruções. http://forum.xda-dev...

18  Como faço para configurar o OpenVPN no CyanogenMod 7?  ( How do i set up openvpn on cyanogenmod 7 ) 
Eu quero encaminhar todos os Meu tráfego de rede através da conexão ISP da minha casa quando estou fora em cafés de internet, então não posso ser espancado /...

6  OpenVPN com Android 2.3.x - Preocupações de segurança  ( Openvpn with android 2 3 x security concerns ) 
Eu preciso usar meu telefone Android 2.3.x para acessar um servidor OpenVPN. Eu tenho cm 7 com suporte em suporte para OpenVPN e TUN. Minha principal preocupa...

4  Tunelamento do navegador OpenVPN  ( Openvpn browser tunneling ) 
Espero não dizer coisas bobas, ou com desconto, mas sou novato, pelo menos para VPN. Eu quero usar meu navegador para conectar minha intranet corporativa vi...

-1  OpenVPN Iniciar e conectar no momento da inicialização  ( Openvpn start connect at boot time ) 
Como iniciar e amp; Conecte o OpenVPN no momento da inicialização? Por favor, note que estamos usando o Android 6.0 e o OpenVPN 0.6.73. Usando o aplicativo ...

1  CyanogenMod 7 OpenVPN DNS não está funcionando  ( Cyanogenmod 7 openvpn dns not working ) 
Eu quero encaminhar todo o tráfego da Internet do meu telefone através da minha VPN. Eu configurei o OpenVPN no meu desejo HTC com o CyanogenMod 7.2.0.1-Bra...

2  Como posso adicionar rotas para vpn  ( How can i add routes to vpn ) 
client dev tap proto udp remote ADDRESS PORT auth-user-pass ca cert-chain.pem remote-cert-tls server route 0.0.0.0 0.0.0.0 resolv-retry infinite nobind p...

1  Ser capaz de acessar a LAN enquanto estiver usando a VPN  ( Being able to access lan while using vpn ) 
em ubuntu , usando gerente de rede , sou capaz de acessar minha lan local enquanto ao mesmo tempo usando um Vpn para acessar a Internet. em android ...




© 2022 pergunte.org All Rights Reserved. Casa de perguntas e respostas todos os direitos reservados


Licensed under cc by-sa 3.0 with attribution required.