бля, ну на таких то "вершинах" неужто нет своей отдельной связи?
даже я могу поднять закрытый сервер, где все будет дважды шифроваться, и хрен кто что прослушает
Смею Вас разочаровать - ФСБ не будет связываться с шифрованием в области цифрового аудио)
Это очевидно любому специалисту.
намного проще и дешевле идти другими путями, ну или принудить выдать ключи.
Очевидно, выбор пути тут несложен.
Для расшифровки нужны сессионные ключи - они не хранятся, они даже при 10минутном разговоре поменяются несколько раз, то есть брать их надо тогда когда разговор еще идет.
А вот алгоритмы сложные но дырявые, даже опубликованные дыры затыкают меньшинство. Может отчасти как раз потому что дыры для доморощенного кулхацкера не интересны, а вот спецслужбам вполне по зубам.
Впрочем, разговор бесмысленен без указания конкретных продуктов.
Чтож, пусть будет openvpn с tls / blowfish внутри которого tls / srtp.
Продукт - asterisk под centos, открыт только порт openvpn udp.
Кто его сломает?)
Они не попадают. Они генерятся одновременно на клиенте и на сервере. Читать про Диффи с Хелманом. И несколько "дыр" как раз были в нем. Одна из них могла помочь мэнинземиддл заставить договориться от ключах которые проверяются за разумное время. А если еще и известна часть пакетов то возможно смогут расшифровать все еще до того как трубку повесят.
То есть вы утверждаете, что текущая версия openvpn имеет уязвимость, позволяющую получить трафик в тоннеле?
Или Ваши утверждения - так - абстрактны?
Позволю себе копипасту
При установке защищенных соединений доступно использование двух методов шифрования OpenVPN — симметричного и асимметричного. Разница между ними заключается в создании и использовании ключей шифрования и дешифрования.
Симметричное шифрование предполагает использование одного и того же ключа для шифрования и дешифрования. Ключ должен быть сгенерирован передающим узлом и распространен на все остальные по еще незащищенному каналу. Остается риск перехвата ключа и последующая утечка данных.
При асимметричном шифровании для зашифровки используется один ключ, а расшифровка возможна только с помощью другого, отличного ключа. Приустановке соединения по открытой сети передается только ключ для шифрования, сгенерированный принимающей стороной. Перехват этого ключа злоумышленнику не дает возможности расшифровать данные, а ключ для дешифровки вообще не попадает в сеть.
как вижу я, в ассиметричном (основном) режиме ни о каких временных ключах речи нет, хотя я не являюсь глубоким специалистом в этих методах шифрования, конечно
и еще немного
Еще одним преимуществом OpenVPN является то, что используемые для шифрования библиотеки OpenSSL поддерживают множество криптографических алгоритмов (например, AES, Blowfish, 3DES, CAST-128, Camelia и другие). Наиболее распространенные алгоритмы, которые используют VPN-провайдеры – AES и Blowfish.
Нет не текущая. Естественно публикация уязвимостей происходит после того как производителям дали шанс закрыть дыру. Но последние опубликованные дыры отличались тем что они не были ошибкой в коде, а были уязвимостями алгоритма. То есть проблема не программиста, а математика. При этом проблема не решается простым апдейтом - это решение отключить проблемные алгоритмы и потерять совместимость со старым клиентским софтом и старым железом или оставить как есть потому как для атаки нужно много чем обладать.
Асимметричное шифрование используется на этапе авторизации, оно очень медленное и шифровать поток с его помощью нереально. Данные передаются с помощью симметричного шифрования. То что перечислено в последнем абзаце все это симметричные алгоритмы.