ubuntuusers.de

Hallo
Aufgrund der Openssl Probleme habe ich mich entschlossen mein openvpn server (7.10) neu zu bauen.
Ich habe ein neues System aufgesetzt (8.04) und openvpn installiert.

Habe alles eingerichtet wie immer und meine (auch neu erstellten) Keys und Zertifikate reinkopiert.
Der Tunnel funktioniert einwandfrei, aber beim start kommt immer die Meldung

WARN: could not open database for 4096 bits (skipping key.pem)

Der alte 7.10ner Server arbeitet mit den gleichen Zertifikaten und Keys - bringt aber beim Start keine solche Meldung
Ich schätze es hat was mit der Verschlüsselungstiefe zu tun?
Auf 8.04 habe ich die openvpn version 2.1_rc7
Auf 7.10 ist es die 2.0.9
Hat sich was unter openvpn geändert oder liegt es an ubuntu?
Weis jemand was?

mfg
frank

habe genau das gleiche problem, auch aufgrund der openssl-schwachstelle alle zertifikate erneuert, auch 2.1_rc7 allerdings unter debian.
der tunnel funktioniert wirklich einwandfrei.

grüße

nico

Edit: Könnte daran liegen, dass mit dem neuen openssl ja auch das Script openssl-vulnkey mitgeliefert wurde. Habe dieses Script nämlich mal einzeln auf die neuen Keys losgelassen, da kommt dann die selbe meldung, wie beim Start des opnVPN-Daemons.

Stell einfach mal das Loglevel hoch und schau ob OpenVPN dann eine sinnvolle Ausgabe produziert.

Danke für die Antworten....
Den Loglevel werde ich testen mal sehen was der dann sagt .....
Muss ich eigentlich auch die Diffie Hellmann Keys neu generieren?

mfg
frank

Hallo
Also die Meldung kommt von

/usr/sbin/openssl-vulnkey -q key.pem

Dieser Befehl wird neuerdings beim Start von openvpn automatisch ausgeführt und bringt dann bei mir diese oben beschriebene Meldung.
Was sie bedeutet weis ich aber noch nicht ....

mfg
frank

Ich habe die DH-Parameter auch neu generiert. Soweit ich weiß bezog sich die openSSL-Lücke ja auf den Zufallszahlengenerator. Wenn ich mich nicht täusche sind die DH-Parameter doch sehr große zufallsgenerierte Primzahlen oder liege ich da falsch? Ich habe sie auf jeden Fall neu generiert. Sicher ist sicher. Hat allerdings für einen 4096-DH-Satz 8 Stunden gedauert o_o

Grüße

Nico

Ich habe genau die selben Schwierigkeiten. Anscheinend ist /usr/sbin/openssl-vulnkey einfach fehlerhaft. Hat irgendwer eine Idee, wie man trotzdem 4096 bits lange Keys verwenden kann? Habe auch keine Lust alle Keys neu zu generieren, denn sie kommen von einem centOS und sind wohl nicht unsicher...

Also die woche hatte ich (auch wieder unter Debian verschienden Updates sowohl für openSSL als auch für openVPN) Vielleicht ist diese vuln-key-Sache ja mittlerweile gefixt. Habe nur leider aktuell keine Sandbox, wo ich es testen könnte. Mein Produktivsystem kann ich dafür schlecht off nehmen.

Also ich habe jetzt noch mal alles aktualisiert ... kam aber nichts mehr mit openssl.
Die Meldung bleibt !!!!
mfg
Frank

Das Problem ist das auf deinem System keine Datenbank existiert fuer schwache 4096 Bit Schluessel. Wenn du dir sicher bist das der Schluessel nicht verwundbar ist dann mach einfach folgendes

touch /usr/share/openssl-blacklist/blacklist.RSA-4096

das legt eine leere Datenbank an die ueberprueft werden kann. Danach sollte dein key zugelassen werden.

AgtMulda