IPSec za NAT [trosicku delsi ;o)]
Peter Surda
shurdeek na routehat.org
Čtvrtek Březen 18 17:43:42 CET 2004
On Thu, Mar 18, 2004 at 02:22:32PM +0100, Pavel Janoušek wrote:
> > -----Original Message-----
> > From: Jan Houstek [mailto:houstek na utf.mff.cuni.cz]
> > Hmm, to by me tedy zajimalo, v cem je AH/ESP na jine urovni, nez SSL.
> > S cistym zero-knowledge a bez duveryhodneho kanalu se vam z principu
> > _nikdy_ nemuze podarit vyloucit MITM.
> Dobra tedy jinak, u SSL mam moznost si dohodnout komunikaci a byt od
> zacatku duveryhodny? U IPsecu se domnivam, ze tu moznost mam...
Ehm, a na co su verejne kluce a certifikaty? SSL umoznuje obom stranam vypytat
si pri zaciatku spojenia od toho druheho verejny kluc, a ked nesplna podmienky
(totozny s vopred znamym alebo ma platny certifikat), spojenie zrusis.
Nejfunguje nahodou IPSec v principe presne tak isto?
Samozrejme, ako bolo povedane, pri ozajstnej zero-knowledge sa MITM vylucit
neda ani v jednom. Na IPSec existuje opportunity encryption ci jak sa to
vola, kde moze server zverejnit kluc pomocou DNS (ale ako jednoducho sa to da
ojebabrat snad nemusim podrobne vysvetlovat).
V realnom svete vsak predsa len troska knowledge mame (zname certifikacne
autority), a X.509-certifikaty sa podla rychleho guglenia daju pouzit aj pri
SSL aj pri IPSec.
Takze z technickej stranky je to podla mna viacmenej jedno, rozhoduju ine
faktory, napr. pozadovana kompatibilita.
> Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
S pozdravom,
Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103, +436505122023
--
chown -R us ~your/*base*
Další informace o konferenci Linux