OpenVPN с Android 2.3.x - Безопасность -- 2.3-gingerbread поле с участием security поле с участием encryption поле с участием openvpn пол android Связанный проблема

OpenVPN with Android 2.3.x - security concerns


6
vote

проблема

русский

Мне нужно использовать свой телефон Android 2.3.x для доступа к серверу OpenVPN. У меня CM 7 со встроенной поддержкой OpenVPN и Tun. Моя главная проблема заключается в том, что я не знаю, куда поставить ключи. Если мой телефон попадает в неправильные руки, я оставляю ключи на открытом воздухе, и я не могу этого.

Если бы у меня был телефон ICS, у меня будет полное шифрование файловой системы, и я был бы в безопасности (R). Итак, есть ли альтернатива или некоторые техники, которые я не знаю, что может надежно хранить сертификаты и ключ на телефон?

Английский оригинал

I need to use my Android 2.3.x phone to access an OpenVPN server. I have CM 7 with built in support for OpenVPN and tun. My main concern is that I don't know where to put the keys in. If my phone gets in the wrong hands, I'm leaving the keys out in the open and I can't have that.

If I had an ICS phone, I'd have full file system encryption and I'd be safe(r). So is there an alternative or some technique I'm not aware of that can store the certificates and the key securely on the phone?

           

Список ответов

1
 
vote

Если вы поддерживаете сервер OpenVPN, вы можете генерировать ключи, которые требуют использования пароля. Техника описана на http://openvpn.net/index. PHP / Open-Source / Документация / Howto.html # PKI .

Свиток в раздел под названием генерирует сертификаты и AMP; Ключи для 3 клиентов . Вы захотите использовать сценарий build-key-pass для генерации ключа защищенного паролем. Это предотвратит использование вашего ключа, если ваш телефон попадает в неправильные руки, хотя я не совсем уверен, поддерживает его реализацию OpenVPN CM 7 7.

Если у вас нет возможности использовать <код> build-key-pass для генерации и зарегистрировать свои собственные клавиши, то существует практического способа обеспечить безопасность вашего ключа без шифрования полного устройства. < / P >.

 

If you maintain the OpenVPN server, you can generate keys that require a password to be used. The technique is described at http://openvpn.net/index.php/open-source/documentation/howto.html#pki.

Scroll to the section titled Generate certificates & keys for 3 clients. You will want to use the build-key-pass script to generate a password-protected key. This will prevent your key from being used maliciously if your phone falls into the wrong hands, though I am not entirely sure if CM 7's OpenVPN implementation supports it.

If you don't have the ability to use build-key-pass to generate and register your own keys, then there is really no practical way to ensure the safety of your key without full-device encryption.

 
 
   
   
1
 
vote
vote
Лучший ответ
 

Хорошо, я спрыгнул пистолет здесь и попросил вопрос, не пытаясь первым. Решение простое и очень безопасное. Во-первых, вы создаете Combo ключ PKCS12 на сервере, который сочетает в себе сертификат сервера, сертификат клиента и ключ с помощью openssl pkcs12 -export -in android.cer -inkey android.key -certfile ca.crt -name android -out certs.p12 . Во время этого вы HAFTA выпускаете пароль дешифрования. Вы идеально безопасны передача этого комбинированного ключа на SD-карту. Далее вы импортируете, что в защищенном хранилище Android, а затем вы можете удалить клавишу PKCS12.

После этого вы хотите пойти, ключи находятся в защищенном пароле Vault и, таким образом, недоступны для всех других. Он не говорит, что вам нужно защитить свой телефон с паролем разблокировки.

 

OK, I've jumped the gun here and asked a question without trying things out first. The solution is simple and very secure. First, you create a PKCS12 combo-key on the server that combines the server certificate, the client certificate and key with openssl pkcs12 -export -in android.cer -inkey android.key -certfile ca.crt -name android -out certs.p12. During that you hafta issue a decrypt password. You're perfectly safe transferring that combo-key to the SD card. Next, you import that in the Android secure storage and then you can delete the PKCS12 key.

After that, you're good to go, the keys are in a password protected vault and thus inaccessible to anyone else. It goes without saying that you need to protect your phone with a unlock password.

 
 

Связанный проблема

2  Как я могу добавить маршруты на VPN  ( How can i add routes to vpn ) 
<код> client dev tap proto udp remote ADDRESS PORT auth-user-pass ca cert-chain.pem remote-cert-tls server route 0.0.0.0 0.0.0.0 resolv-retry infinite nobi...

18  Как мне настроить OpenVPN на Cyanogenmod 7?  ( How do i set up openvpn on cyanogenmod 7 ) 
Я хочу маршрутизировать all мой сетевой трафик через мою сетевое соединение, когда я выхожу в интернет-кафе, поэтому я не могу быть подслушиванным / FireSh...

6  OpenVPN с Android 2.3.x - Безопасность  ( Openvpn with android 2 3 x security concerns ) 
Мне нужно использовать свой телефон Android 2.3.x для доступа к серверу OpenVPN. У меня CM 7 со встроенной поддержкой OpenVPN и Tun. Моя главная проблема закл...

3  Подключите к локальной сети с OpenVPN. Проблема: локальный IP-адрес Unset, но добавление маршрута?  ( Connect to local network with openvpn problem local ip address unset but addi ) 
Цель Я хочу подключиться к некоторым услугам (например, файловый сервер, IP-камера и т. Д.) В моей домашней сети с моим мобильного телефона с помощью VPN. Я...

4  OpenVPN браузер туннелирование  ( Openvpn browser tunneling ) 
Я надеюсь, что не говорю глупые вещи, или скидка, но я новичок, по крайней мере, для VPN. Я хочу использовать свой браузер для подключения к моей корпоратив...

-1  OpenVPN запуск и подключение во время загрузки  ( Openvpn start connect at boot time ) 
Как начать & amp; Подключите OpenVPN во время загрузки? Обратите внимание, что мы используем Android 6.0 и OpenVPN 0,6,73. Использование платного приложения...

1  TUN.KO для Samsung InterClex / Stock Froyo  ( Tun ko for samsung intercept stock froyo ) 
У меня есть интерфейс Samsung, работает VM Стоковое Изображение Froyo. Я пытаюсь запустить openVPN на нем. Телефон укоренился, и у меня openVPN и графический ...

1  Cyanogenmod 7 OpenVPN DNS не работает  ( Cyanogenmod 7 openvpn dns not working ) 
Я хочу направить все интернет-трафик моего телефона через мой VPN. Я настроил OpenVPN в моем HTC Desire с Cyanogenmod 7.2.0.1-Bravo через интегрированные ди...

1  Возможность доступа к LAN при использовании VPN  ( Being able to access lan while using vpn ) 
на ubuntu , используя network-manager , я могу получить мою <сильную> локальную локальную локальную локальную локальную локальную локальную локальную локаль...

0  Как мне привязать VPN на леденец?  ( How do i tether with vpn on lollipop ) 
Как мне привязывать к VPN на леденец? У меня есть root. Я нашел следующее руководство, но не полностью понимаю инструкции. http://forum.xda-developers.com/...