Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 7783 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN only 1024bit instead of 2048bit?

stevenhemelaere
My SSL VPN has been configured to use a 2048bit key size, however when checking the logs, i get the following:

2009:06:18-16:30:58  openvpn[12501]: :1761 TLS: Username/Password authentication succeeded for username '' 
2009:06:18-16:30:58  openvpn[12501]: :1761 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
2009:06:18-16:30:58  openvpn[12501]: :1761 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
2009:06:18-16:30:58  openvpn[12501]: :1761 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
2009:06:18-16:30:58  openvpn[12501]: :1761 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
2009:06:18-16:30:58  openvpn[12501]: :1761 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA


Am i misinterpreting something, or is there really a problem here?

BTW: i'm using 7.460


This thread was automatically locked due to age.
Parents
  • 0
    I almost understood this 2+ years ago, but I think I see the question now...

    There are two different issues: (1) authentication for establishing the VPN tunnel and (2) encryption/decryption of traffic sent through the tunnel.

    When authentication is involved here, I think the private key held by each side must match the public key held by the other, and that each side is free to have its own private+public keys with 1024, 2048, etc.  The same is true of the CA; it doesn't have to match the 1024/2048 of the certificate, the cert just need to refer to the CA correctly.

    As for sending traffic through the tunnel, that is encrypted/decrypted based on an algorithm (like AES256) and the certificates.  Again, the certs don't have to match, just the private and public keys of each.

    If I've misunderstood anything, I welcome correction.

    Cheers - Bob
Reply
  • 0
    I almost understood this 2+ years ago, but I think I see the question now...

    There are two different issues: (1) authentication for establishing the VPN tunnel and (2) encryption/decryption of traffic sent through the tunnel.

    When authentication is involved here, I think the private key held by each side must match the public key held by the other, and that each side is free to have its own private+public keys with 1024, 2048, etc.  The same is true of the CA; it doesn't have to match the 1024/2048 of the certificate, the cert just need to refer to the CA correctly.

    As for sending traffic through the tunnel, that is encrypted/decrypted based on an algorithm (like AES256) and the certificates.  Again, the certs don't have to match, just the private and public keys of each.

    If I've misunderstood anything, I welcome correction.

    Cheers - Bob
Children
No Data