Seppim 14 Geschrieben 4. April 2020 Melden Teilen Geschrieben 4. April 2020 Hallo, ich möchte einige Rechner mit wireguard zusammen hängen, aber mir sind die Keys noch nicht ganz klar. Ich habe auf jedem Rechner die Keys erzeugt und ausgestauscht mit dem Server: klappt soweit. Nun würde ich gerne eine .conf am Server erzeugen, damit Clients die importieren können. Auch das habe ich fertig und klappt, aber: Kann ich am Server den Public Key für den Client erzeugen? Dann könnte ich diesen gleich am Server eintragen. Vorausgesetzt der publicKey ist der selbe, egal auf welchem PC ich ihn erstelle. Und warum soll ein pre-shared key das noch weiter absichern? Wenn sich jemand Zugang zu dem .conf file erschafft, könnte sich mit meinem Server verbinden, oder? Was ja nicht so gut ist. Danke! Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 4. April 2020 Melden Teilen Geschrieben 4. April 2020 Public und Private Key gehören zusammen und werden zusammen erzeugt. Der Client kann seinen Public Key über einen ungeschützten Kanal dem Server übermitteln, aber selbst erzeugen kann ihn der Server nicht. Ein Pre-Shared-Key erhöht die Sicherheit, indem er der asymmetrischen Verschlüsselung noch eine symmetrische Verschlüsselung vorschaltet. Falls es in ein paar Jahren Quantencomputer geben sollte, welche das asymmetrische Verfahren brechen können, wären die Daten durch den PSK immer noch geschützt. Dies ist aber in den meisten Fällen mehr eine theoretische Gefahr: es ist eher unwahrscheinlich, dass jemand heute Deinen Traffic mitschneidet und sich dann Jahre später einen Quantencomputer kauft, um die Daten zu entschlüsseln. Wenn sich jemand Zugang zur Konfigurationsdatei verschafft, hat er auch Zugang zum Private Key und ja, das wäre eher nicht so gut. (Wenn jemand einen solchen Zugriff auf Deinen Rechner hätte, könnte er aber auch einen Keylogger oder so installieren.) Zitieren Link zu diesem Kommentar
Seppim 14 Geschrieben 4. April 2020 Autor Melden Teilen Geschrieben 4. April 2020 Hallo, danke ... ich würde gerne am Server alles für den Client vorbereiten. Wenn ich dem Client die .conf sende und dann wird erst der Public erzeugt, wenn er diese importiert, muss er die Public wieder zurücksenden und ich trage diese in die Server .conf ein. Diesen doppelten Weg würde ich gerne umgehen. Wie kann der Client seinen PublicKey direkt an den Server übermitteln? Davon habe ich noch nichts gelesen. Danke! Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 4. April 2020 Melden Teilen Geschrieben 4. April 2020 vor 1 Minute schrieb Seppim: Wie kann der Client seinen PublicKey direkt an den Server übermitteln? Davon habe ich noch nichts gelesen. Dazu ist mir keine Funktion bekannt. Du müsstest das selbst umsetzen: per FTP, einem Webservice etc. In Deinem Szenario müsste der Client einen Webservice aufrufen, sich authentifizieren und seinen Public Key mitschicken. Der Webservice würde dann die Konfigurationsdatei erstellen und an den Client senden. Zitieren Link zu diesem Kommentar
Seppim 14 Geschrieben 4. April 2020 Autor Melden Teilen Geschrieben 4. April 2020 ah so war das gemeint ... danke! hmmmm ... ich hab das nun gerade ausprobiert: Erzeuge am Server einen neuen private Key: wg genkey > privatekey Dieser scheint zufällig und eindeutig zu sein. Erzeuge ich am PC 1 nun daraus den public Key: wg pubkey < privatekey > publickey erhalte ich den public key Mach ich das nun mit dem selben private Key an einem anderen PC, erhalte ich exakt den selben public Key. Somit kann ich für jeden Client am Server den private Key erzeugen und auch den public Key vorauseintragend. Dann sende ich dem Client das .conf File und sobald der Client startet ist der verbunden. Kannst du das so bestätigen? Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 4. April 2020 Melden Teilen Geschrieben 4. April 2020 Das funktioniert technisch so, aber bei der asymmetrischen Kryptographie sollte der Private Key nicht auf einem fremden Gerät erzeugt werden. Aus praktischen Gründen kann von diesem Prinzip abgewichen werden, wenn man sich den Konsequenzen bewusst ist. 1 Zitieren Link zu diesem Kommentar
Seppim 14 Geschrieben 4. April 2020 Autor Melden Teilen Geschrieben 4. April 2020 Danke für die Info! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.