Ich habe da eine Frage, für die ich bis anhin noch keine Antwort gefunden habe. Folgendes:
Wenn ich über die Zertifizierungsstelle (W2K-Server) ein IPSEC-Zertifikat anfordere, so kann ich dort die Schlüsselgrösse (Key Size) einstellen (512 / 1024).
Wenn ich dieses Zertifikat dann auf dem RAS-Server + VPN-Client installiere, wird aber mit 3DES-Verchlüsselung gearbeitet.
Kann mir hierzu jemand den Zusammenhang erklären? Ich löse ein Zertifikat mit einer Schlüsselgrösse 1024, verschlüsselt wird die VPN-Verbindung jedoch mit Triple DES? Mit welcher Schlüsselgrösse wird dann effektiv verschlüsselt und warum?
Hallo HannesJ und willkommen an Board
in aller Kürze: Diese Art der Verschlüsselung (bei secure Email usw. ist es im prinzip genauso) ist eine Mischung aus Publik Key-Verfahren und sym. Key-Verfahren. Mit der Verschlüsselung durch den Public Key wird ein symetrischer Schlüssel verschlüsselt übertragen. Mit diesem symetrischen Schlüssel (bis zu 128 Bit) werden dann nachher die Daten verschlüsselt. Das Public Key Verfahren dient also lediglich dazu, auf sicherem Wege einen Symetrischen Schlüssel auf die andere Seite zu transportieren.
Dann verstehe ich das richtig, dass der durch das Zertifikat generierte Schlüssel (1024 Bit) nur dazu dient, den 3DES-Key korrekt und verschlüsselt zur Gegenstelle zu übertragen? Gehe ich da der Annahme richtig, dass jedoch der Tunnel selber von beiden Seiten her (RAS-Server <-> VPN-Client) mit 3DES verschlüsselt wird? Du hast erwähnt, dass der symmetrische Schlüssel bis zu 128 Bit lang sein kann. Bei 3DES sind es doch mehr?
Deine Interpretation meiner Aussage ist absolut korrekt
Und: mit 3DES sind rein technisch mehr als 128 bit möglich, aber Microsoft unterstützt derzeit nur maximal 128bit.
Ich hab enochmal nachgeschaut, Windows unterstützt 168bit 3DES, aber im Zusammenhang von IPSec habe ich diesen Wert nicht gefunden, nur bei EFS und Office Xp. Ich naheme aber an, dass Windows dies dann auch bei IPSec macht.
Effektiv ist bei 3DES jedoch "nur" eine Schlüssellänge von 112 Bit (wurde vorhin fündig). Da wird mir auch klar, warum die 3DES-Verschlüsselung unter W2K funktioniert (3 x 56 = 168 -> effektiv jedoch 112, welche von MS bis 128 Bit unterstützt wird.)
Hi Hannes,
Ich hab letztens einen Vortrag von einem wirklichen Security-Encryption-Freak gehört, der die Algorithmen auch mathematisch kennt. Der meinte, dass man DES bzw. 3DES heutzutage schlicht vergessen kann.
Wenns dich interessiert, kann ich die Präsentation mal raussuchen. (Hoffe, ich find sie noch.)
Ja, diese Präsentation würde mich doch sehr interessieren. So würde mir auch die Frage: "Mit was, wenn nicht 3DES über IPSEC, denn heutzutage verschlüsselt werden soll" geklärt werden....
