OpenVPN:クライアントキー/証明書/設定が盗まれないように保護しますか?

OpenVPN:クライアントキー/証明書/設定が盗まれないように保護しますか?

OpenVPNのインストールを設定しました。モード:マルチクライアント1サーバー。

お客様はすべてラズベリーです。ファイルを盗んだ後、ハードドライブでキー+証明書+設定を見つけるのがどれほど簡単かを見つけました。ラップトップにコピーしてVPNに接続します...

私はこれについて何も知りません。これが起こらないようにするための良い方法はありますか?

ディスク暗号化?

ありがとうございます。

答え1

非常に少数の例外を除いて、誰かがハードウェアを手に入れた場合は、ストレージ全体にアクセスしてコピーするだけで、すべてをコピーできます。

追加の暗号化は役に立ちません。ディスクが暗号化されている場合は、ディスク暗号化キーをどこかで読み取ることができるはずです。そのシナリオでは、ディスク暗号化は役に立ちません。

スマートカードなどの一部のハードウェアは簡単にコピーできません。ただし、スマートカードリーダーをRPiに接続しても、泥棒はPiを使用してカードを盗むことができます。

SDカードが暗号化されていると、他の人がPiまたはSDカードを盗んだり借りたりするのを防ぐことができます。そして泥棒は鍵を得ることができません。これは、Piを起動するには、あなたまたはあなたが信頼する人がパスワードを入力するか、USBキー暗号化キーを含むSDカードを挿入する必要があることを意味します。これは完全な保護ではありません。誰かがRAMを捨てることができますが、RAMがPiにはんだ付けされているため、比較的難しいハードウェア攻撃です。 RPiに予算が不足している場合は、そのような高い抵抗が不要になる可能性があります。

改ざん防止キーストアを統合したハードウェアプラットフォームがいくつかあります。完全な生産管理PCプラットフォームでは、ARMシステムオンチップ信頼エリアハードウェア信頼ルート(CPU機能TrustZoneだけでは不十分)。ハードウェアコストはRaspberry Piよりはるかに高いです。これらのシステムも盗難を防ぐことはできず、泥棒がクライアントデバイスをコピーするのを防ぐだけです。

保護のための別のパスは物理的保護です。つまり、建物の固定具にしっかりと固定されたロックされたボックスに機器を配置することです。

攻撃者がクライアントデバイスに物理的にアクセスするのを防ぐことができない場合、彼らがあなたのキーを盗むのを防ぐことはできません。あなたができることは、盗難を検出することだけです。たとえば、複数のクライアントが同じクライアント証明書を使用して表示されると、何かが間違っています。ただし、どのクライアントが正当なものかわからない場合は、すべてのクライアントへのアクセスを許可するのか、アクセスを拒否するのかを判断するのが難しくなります。正当な顧客へ)。

答え2

キーを生成するときは、そのキーの有効期限を設定できます。正当なユーザーが自分のデバイスでクライアントキーを更新できると仮定すると、比較的短時間でキーが期限切れになるように設定できます。これにより、デバイスが盗まれた場合の潜在的な露出期間が制限されます。

関連情報