VPN služba mi vygeneruje soukromý klíč wg

VPN služba mi vygeneruje soukromý klíč wg
« kdy: 13. 01. 2023, 03:18:39 »
Narazil jsem na jednu službu něco na způsob VPN. Mohu si vybrat k jakému bodu ("datacentru") se připojím. Mezi metodami připojení je Wireguard.
Zarazila mě jedna věc: po nastavení mi to vygeneruje konfigurační řetězec wireguardu (INI syntaxe)
ve kterém je pro dané rozhraní:
-adresa+subnet
-Privátní klíč  ???
[Peer]
-Public Key
-Endpoint
-Allowed IPS
-Keepalive

Princip fungování by měl být

1 To, že služba vygeneruje privátní klíč mi připadá alarmující. že by to tak z principu nemělo být?
2 Je nějaký důvod proč to takto je ?
3 Co mi může hrozit?

4(BTW je možnost tam privátní klíč vložit vlastní nebo smazat - vygeneruje se jiný) - to je taky k smíchu ne?



(posléze dodat i zjištění ohledně pubkey Peer)"
« Poslední změna: 13. 01. 2023, 07:15:30 od Petr Krčmář »


Re:VPN služba mi vygeneruje soukromý klíč wg
« Odpověď #1 kdy: 13. 01. 2023, 08:47:13 »
Řekl bych, že jediným důvodem bude usnadnění práce běžnému uživateli. Většina správců OpenVPN taky generuje rovnou všechno za uživatele, protože běžný Franta není schopen si generovat pár klíčů a žádost o vystavení certifikátů. Je to samozřejmě méně bezpečné, ale uživatelsky pohodlné.

Nebezpečí plyne jen z toho, že je potřeba ten soukromý klíč k uživateli přenést dostatečně bezpečným kanálem. Je tedy potřeba přijmout u takové služby riziko toho, že se klíč přenese třeba po HTTPS.

Re:VPN služba mi vygeneruje soukromý klíč wg
« Odpověď #2 kdy: 13. 01. 2023, 10:44:03 »
1 To, že služba vygeneruje privátní klíč mi připadá alarmující. že by to tak z principu nemělo být?
2 Je nějaký důvod proč to takto je ?

Proč by to tak nemělo být? Privátních klíčů si můžete vygenerovat třeba milion. Oni to udělají za vás prostě proto, abyste to nemusel dělat vy a je jen na vás, zda jim důvěřujete natolik, že použijete jimi vygenerovaný (a tedy jim známý) privátní klíč nebo použijete vlastní a jim ho vůbec sdělovat nebudete.

3 Co mi může hrozit?

Kromě toho, že budou moci dešifrovat komunikaci s vaším peerem nebo se tvářit, že oni jsou vy asi nic :D

4(BTW je možnost tam privátní klíč vložit vlastní nebo smazat - vygeneruje se jiný) - to je taky k smíchu ne?

K smíchu? Ani ne. Spíš to nedává smysl uživatelsky. Oni váš privátní klíč vůbec znát nepotřebují, potřebují znát váš veřejný klíč. Takže je nesmysl, že se po smazání vygeneruje jiný. Ale zase je to, na druhou stranu, jestli to dobře chápu, jen generátor konfigurace, kterou pak máte vy na vašem peeru, nikoliv konfigurace u nich. Z tohohle hlediska je to tedy kromě výše uvedeného jedno.

ja.

  • ****
  • 334
    • Zobrazit profil
    • E-mail
Re:VPN služba mi vygeneruje soukromý klíč wg
« Odpověď #3 kdy: 13. 01. 2023, 11:12:20 »
Narazil jsem na jednu službu něco na způsob VPN. Mohu si vybrat k jakému bodu ("datacentru") se připojím. Mezi metodami připojení je Wireguard.
Zarazila mě jedna věc: po nastavení mi to vygeneruje konfigurační řetězec wireguardu (INI syntaxe)
ve kterém je pro dané rozhraní:
-adresa+subnet
-Privátní klíč  ???
[Peer]
-Public Key
-Endpoint
-Allowed IPS
-Keepalive

Princip fungování by měl být

1 To, že služba vygeneruje privátní klíč mi připadá alarmující. že by to tak z principu nemělo být?
2 Je nějaký důvod proč to takto je ?
3 Co mi může hrozit?

4(BTW je možnost tam privátní klíč vložit vlastní nebo smazat - vygeneruje se jiný) - to je taky k smíchu ne?



(posléze dodat i zjištění ohledně pubkey Peer)"

Niektoré z VPN služieb to robia kvôli používateľom; keby ich odkázali na `wg genkey` v príkazovom riadku, tak by sa im dosť radikálne znížil počet zákazníkov.

To, že ich generujú pre zákazníka však neznamená, že ich poznajú. Niektoré ich generujú javascriptom na strane klienta, u seba zaevidujú iba verejný kľúč.

Re:VPN služba mi vygeneruje soukromý klíč wg
« Odpověď #4 kdy: 13. 01. 2023, 11:45:01 »
Je úplně jedno, že ho zná provozovatel té služby. Ten klíč se používá jen pro komunikaci s ním, takže on má stejně moc nad tím spojením a může si s ním dělat, co chce a vydávat se za vás sám před sebou. To moc smysl nedává.

Podstatné je, že ten klíč nesmí znát nikdo další, protože pak by se on mohl vydávat za vás a provozovatel by to nijak nerozlišil.


Re:VPN služba mi vygeneruje soukromý klíč wg
« Odpověď #5 kdy: 13. 01. 2023, 11:52:33 »
Je úplně jedno, že ho zná provozovatel té služby.

Úplně ne, provozovatel není počítač, ale firma se zaměstnanci co se točí a lidským faktorem. Proto hodně firem i interně vše šifruje a často třeba ani samotná firma prostě neví klientské klíče, což je bezpečnější z hlediska hacknutí nebo zneužitím člověkem zevnitř. Nebyl by to první ani poslední případ, kdy si admin vykopíruje data na disk při odchodu z firmy a vezme si je sebou.

V mé kariéře je report to, že předchozí admin vzal pevné disky ze serveru, vypnul vše a s těmi disky si stoupnul na zábradlí mostu v Praze nad nádražím střed a plánoval skočit.

Re:VPN služba mi vygeneruje soukromý klíč wg
« Odpověď #6 kdy: 13. 01. 2023, 23:11:19 »
Zajímavé spektrum odpovědí. Pro úplnost dodám, že ten privátní klíč, když ho z-edituji  a uložím, tak později si ho prohlédnout mohu zase. Kdyby byla pochybnost náhodou.... Narážím tím na to že to není aspoň to že někam něco submitnu a věřím že se na serveru provede cat | wg pub-key>pubkey a  nadále priv key už nikde neexistuje   (analogie k webu neukládající plaintext hesla:registrace služby->zadám heslo, uloží se do databáze {bcrypt($heslo,$salt,$cost),$salt,$cost} a taky doufáte že nejenže to tak dělají, ale že zároveň do vedlejšího sloupce neukládají $heslo)

Ledaže by to měli udělané chytře že by by se ten privátní klíč dešifroval na základě znalosti account na webu(v administraci mám heslo)
Ale je to o důvěře

> MartinPoljak: BTW tím že použiji vlastní privátní klíč jim ho logicky sdělím. Takže si nijak nepomohu že tam nechám ten defaultní (nebo možnost 2 že ho smažu a dám Save a zase se tam nějaký jiný ukáže)

V mé kariéře je report to, že předchozí admin vzal pevné disky ze serveru, vypnul vše a s těmi disky si stoupnul na zábradlí mostu v Praze nad nádražím střed a plánoval skočit.
BTW a data přžeily?
co znamená "report to"?

Re:VPN služba mi vygeneruje soukromý klíč wg
« Odpověď #7 kdy: 14. 01. 2023, 08:49:54 »
A prečo by mal byť problém použiť privátny kľúč od poskytovateľa VPN služby? Veď sa aj tak používa iba na šifrovanie dát pri prenose medzi mnou a poskytovateľom VPN. Poskytovateľ aj tak uvidí komunikáciu v nezašifrovanej podobe presne takej istej akú posielam do tunela. Tak prečo je problém použiť ním vygenerovaný privátny kľúč? Keď mu poskytnem len mnou generovaný verejný kľúč, tak sa nič nezmení...