wireguard Funktionsweise

[Seppim 14]

Hallo,

 

ich möchte einige Rechner mit wireguard zusammen hängen, aber mir sind die Keys noch nicht ganz klar.

Ich habe auf jedem Rechner die Keys erzeugt und ausgestauscht mit dem Server: klappt soweit.

 

Nun würde ich gerne eine .conf am Server erzeugen, damit Clients die importieren können.

Auch das habe ich fertig und klappt, aber:

 

 

Kann ich am Server den Public Key für den Client erzeugen? Dann könnte ich diesen gleich am Server eintragen. Vorausgesetzt der publicKey ist der selbe, egal auf welchem PC ich ihn erstelle.

Und warum soll ein pre-shared key das noch weiter absichern?

 

Wenn sich jemand Zugang zu dem .conf file erschafft, könnte sich mit meinem Server verbinden, oder? Was ja nicht so gut ist.

 

Danke!

[mwiederkehr 399]

Public und Private Key gehören zusammen und werden zusammen erzeugt. Der Client kann seinen Public Key über einen ungeschützten Kanal dem Server übermitteln, aber selbst erzeugen kann ihn der Server nicht.

 

Ein Pre-Shared-Key erhöht die Sicherheit, indem er der asymmetrischen Verschlüsselung noch eine symmetrische Verschlüsselung vorschaltet. Falls es in ein paar Jahren Quantencomputer geben sollte, welche das asymmetrische Verfahren brechen können, wären die Daten durch den PSK immer noch geschützt. Dies ist aber in den meisten Fällen mehr eine theoretische Gefahr: es ist eher unwahrscheinlich, dass jemand heute Deinen Traffic mitschneidet und sich dann Jahre später einen Quantencomputer kauft, um die Daten zu entschlüsseln.

 

Wenn sich jemand Zugang zur Konfigurationsdatei verschafft, hat er auch Zugang zum Private Key und ja, das wäre eher nicht so gut. (Wenn jemand einen solchen Zugriff auf Deinen Rechner hätte, könnte er aber auch einen Keylogger oder so installieren.)

[Seppim 14]

Hallo,

 

danke ... ich würde gerne am Server alles für den Client vorbereiten.

 

Wenn ich dem Client die .conf sende und dann wird erst der Public erzeugt, wenn er diese importiert, muss er die Public wieder zurücksenden und ich trage diese in die Server .conf ein.

 

Diesen doppelten Weg würde ich gerne umgehen.

 

Wie kann der Client seinen PublicKey direkt an den Server übermitteln? Davon habe ich noch nichts gelesen.

 

Danke!

[mwiederkehr 399]

vor 1 Minute schrieb Seppim:

Wie kann der Client seinen PublicKey direkt an den Server übermitteln? Davon habe ich noch nichts gelesen.

Dazu ist mir keine Funktion bekannt. Du müsstest das selbst umsetzen: per FTP, einem Webservice etc.

 

In Deinem Szenario müsste der Client einen Webservice aufrufen, sich authentifizieren und seinen Public Key mitschicken. Der Webservice würde dann die Konfigurationsdatei erstellen und an den Client senden.

[Seppim 14]

ah so war das gemeint ... danke!

hmmmm ... ich hab das nun gerade ausprobiert:

 

Erzeuge am Server einen neuen private Key:

wg genkey > privatekey

Dieser scheint zufällig und eindeutig zu sein.

 

Erzeuge ich am PC 1 nun daraus den public Key:

wg pubkey < privatekey > publickey

erhalte ich den public key

 

Mach ich das nun mit dem selben private Key an einem anderen PC, erhalte ich exakt den selben public Key.

 

 

Somit kann ich für jeden Client am Server den private Key erzeugen und auch den public Key vorauseintragend.

 

Dann sende ich dem Client das .conf File und sobald der Client startet ist der verbunden.

 

Kannst du das so bestätigen?

[mwiederkehr 399]

Das funktioniert technisch so, aber bei der asymmetrischen Kryptographie sollte der Private Key nicht auf einem fremden Gerät erzeugt werden. Aus praktischen Gründen kann von diesem Prinzip abgewichen werden, wenn man sich den Konsequenzen bewusst ist.

[Seppim 14]

Danke für die Info!