IPSec za NAT [trosicku delsi ;o)]
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Pátek Březen 26 03:15:27 CET 2004
On Mon, 22 Mar 2004, Pavel Janoušek wrote:
> > klicu and "it just doesn't scale up". Pokud vezmete IPSec +
> > ISAKMP nebo jakykoli jiny protokol zajistujici vymenu klicu za chodu,
> > tak to vyjde v principu nastejno.
>
> Ano, ale nic mne nenuti pouzit tento zpusob.
Zachovani dusevniho zdravi pro vetsi a dynamicky se menici mnozine
zucastnenych uzlu muze byt dobry duvod, proc nepouzivat preshared keys.
> Ano, ale ISAKMP v principu nepotrebuji, jake jine moznosti,
> abych to desifrovaci orakulum nemel in natura v systemu, mam v pripade
> SSL/TLS - nevhodny time-sensitivity attack je jen jedna moznost...
Jednoduche: pouzivat na vymenu klicu vyhradne DH. :)
(Jinak vetsinu postrannich kanalu lze uspesne potlacit blindingem.)
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux