Android 2.3.xのOpenVPN - セキュリティ上の懸念 -- 2.3-gingerbread フィールド と security フィールド と encryption フィールド と openvpn フィールド android 関連 問題

OpenVPN with Android 2.3.x - security concerns


6
vote

問題

日本語

私は私のAndroid 2.3.x電話を使用してOpenVPNサーバーにアクセスする必要があります。私はOpenVPNとTunのサポートを内蔵したCM 7を持っています。私の主な関心事は、鍵を入れる場所がわからないということです。私の電話が間違った手に入っているならば、私は鍵を開くことができず、それを持つことはできません。

ICS電話があれば、完全なファイルシステムの暗号化があると思います(R)。それで、証明書とキーを電話で保存することができないことを認識していない代替またはいくつかの技術はありますか?

英語

I need to use my Android 2.3.x phone to access an OpenVPN server. I have CM 7 with built in support for OpenVPN and tun. My main concern is that I don't know where to put the keys in. If my phone gets in the wrong hands, I'm leaving the keys out in the open and I can't have that.

If I had an ICS phone, I'd have full file system encryption and I'd be safe(r). So is there an alternative or some technique I'm not aware of that can store the certificates and the key securely on the phone?

           

回答リスト

1
 
vote

OpenVPNサーバーを維持する場合は、パスワードを使用する必要があるキーを生成できます。この手法は、 http://openvpn.net/indexで説明されています。 PHP / Open-Source / Documentation / Howto.html#pki

を生成する証明書とAMPを作成したセクションまでスクロールします。 3クライアントのキー 998877666544330 スクリプトを使用してパスワードで保護キーを生成します。 CM 7のOpenVPN実装がそれをサポートしているかどうかは完全に確信していますが、これはあなたの鍵が故意に使用されるのを防ぎます。

998877666544331 を使用して自分のキーを生成して登録する機能がない場合は、本機の暗号化なしでキーの安全性を確保するための実用的な方法はありません。< / P>

 

If you maintain the OpenVPN server, you can generate keys that require a password to be used. The technique is described at http://openvpn.net/index.php/open-source/documentation/howto.html#pki.

Scroll to the section titled Generate certificates & keys for 3 clients. You will want to use the build-key-pass script to generate a password-protected key. This will prevent your key from being used maliciously if your phone falls into the wrong hands, though I am not entirely sure if CM 7's OpenVPN implementation supports it.

If you don't have the ability to use build-key-pass to generate and register your own keys, then there is really no practical way to ensure the safety of your key without full-device encryption.

 
 
   
   
1
 
vote
vote
ベストアンサー
 

OK、私はここに銃を飛び乗り、最初に物事を試してみることなく質問しました。解決策はシンプルで非常に安全です。まず、サーバー証明書、クライアント証明書とキーを 99887766544332 に組み合わせたサーバー上のPKCS12コンボ鍵を作成します。その間に、HAFTAは復号化パスワードを発行します。そのコンボ鍵をSDカードに転送する完全に安全に移動します。次に、Androidセキュアストレージでそれをインポートしてから、PKCS12キーを削除できます。

その後、行くのは良いですが、キーはパスワードで保護されたボールトにあり、他の誰かにアクセスできません。あなたがロック解除パスワードであなたの携帯電話を保護する必要があることは言うことがない。

 

OK, I've jumped the gun here and asked a question without trying things out first. The solution is simple and very secure. First, you create a PKCS12 combo-key on the server that combines the server certificate, the client certificate and key with openssl pkcs12 -export -in android.cer -inkey android.key -certfile ca.crt -name android -out certs.p12. During that you hafta issue a decrypt password. You're perfectly safe transferring that combo-key to the SD card. Next, you import that in the Android secure storage and then you can delete the PKCS12 key.

After that, you're good to go, the keys are in a password protected vault and thus inaccessible to anyone else. It goes without saying that you need to protect your phone with a unlock password.

 
 

関連する質問

93  私の電話はいつAndroid 2.3アップデート(ジンジャーブレッド)を入手しますか?  ( When will my phone get the android 2 3 update gingerbread ) 
Android 2.3(ジンジャーブレッド)SDKは 2010年12月6日にリリースされました。 (ハイレベルユーザーハイライト) もちろん、すべてのデバイスがこのアップデートをすぐに入手するわけではなく、他のデバイスはまったく手に入りません。各製造元とキャ...

1  サムスンギャラクシーS II GT-I9100を発表  ( Rooting samsung galaxy s ii gt i9100 ) 
1つのルートは、サムスンギャラクシーS IR-GT-I9100(そのオリジナルのAndroid 2.3ジンジャーブレッド)を、好ましくはLinux Mint? この質問は、具体的にはレート索引。 私は特に電話でデータを拭かない、私はその後のデータを回復するこ...

7  Androidのバージョンはアドホック接続をサポートしていますか?  ( Does any version of android support ad hoc connections ) 
私はちょうど Lenovo iDeapad A1 をAndroid 2.3を実行しました。デバイスをアドホックネットワークに接続することはできません。 他のAndroidバージョンはこれをサポートしていますか? ...

4  テキストの大文字の問題  ( Speech to text uppercase letter problem ) 
音声へのテキストを通して任意の種類のメッセージを作成するときはいつでも、かなり煩わしくかつ見やすく、回避策はありません。 問題: Androidは文の最初の文字を大文字にします。しかし、それはそれがその残りの部分を通して現れるところで同じ文字のあらゆる出現を...

4  デスクトップスクロールラップを無効にする方法  ( How to disable desktop scroll wrap ) 
サムスンギャラクシーACE 2. 私は3つのデスクトップを持っていると言ってみましょう、私は2から3まで、2から3までスクロールすることができます。最後のものは私には望まれていませんので、この効果を無効にする方法> ...

0  Gmailラベルの電子メールにアクセスできない  ( Cant access emails in gmail labels ) 
これは、CyanogenMod 7を実行している私のNexus上で突然現れた(またはそうではない!)に登場した問題です。 大丈夫だったので、私はすべてのラベルに電子メールをロードできなくなりましたが、「会話の読み込み」と言うが、ロードやタイムアウトすることはあ...

1  メニューを3Dにスライドさせる方法?  ( How to make menu slide in 3d ) 
ここでそれを見た: http:/ /theunlockr.com/2011/04/12/android-101-how-to-scan-use-a-qr-code/ ビデオを視聴して見るでしょう。 Androidジンジャーブレッドでこの効果を作成する方...

0  Samsung Galaxy Y Duos Liteによる低い内部ストレージ、メッセージメモリと低迷する問題  ( Low internal storage message memory full and sluggishness problems on samsung g ) 
現在、すべての内部メモリプログラムをアンインストールし、それらを再インストールし、それらを再インストールし、それらのデータキャッシュをフォーマットすることによって、そのエラーを修正しました。また、Link2SD PRO(Appのデータファイルも移動する)を使用...

0  インターネットを必要とせずに音声認識を使用するには、Android 2.3を作る方法は?  ( How to make android 2 3 to use voice recognition without the need of internet ) 
私のサムスンギャラクシーyデュオス、GT-S6102bでは、書く代わりに何かを話すためにボタンを押すことができます。それは素晴らしい行動ですが、インターネットの接続を使用するときだけ機能します - WallはWi-Fi接続でのみ機能しています... しかし...

7  デフォルトでSDカードにアプリをインストールする[重複]  ( Install apps to sd card by default ) 
この質問はすでにここで回答を持っています デフォルトをインストールする (5回答) 閉じた 7年前>。 ...

0  Nexus OneのBluetoothのオーディオドロップアウト  ( Audio dropouts over bluetooth on nexus one ) 
ジンジャーブレッドアップデート以来、私のN1は、Bluetooth経由で私の車のオーディオシステムに接続されている場合、5~10分ごとにランダムオーディオドロップアウトの問題を経験しています。オーディオは正常にストリーミングされます。その後、「POP」の音がゼ...

0  Android 2.3.3とそのデフォルトのアプリケーションはどのくらいのディスク容量を使用しますか。  ( How much disk space does android 2 3 3 and its default apps use ) 
異なる電話機は異なる全ディスク容量を広告しています。 Android 2.3.3とそのデフォルトのアプリを使用してブランドの新しい電話を受けるとき、それらはどのくらいのディスク容量を取りますか? ...

1  Android 2.3.3から新しいバージョンにサムスンギャラクシーS2(GT-I9100)を更新するにはどうすればよいですか。  ( How can i update my samsung galaxy s2 gt i9100 from android 2 3 3 to a newer v ) 
サムスンギャラクシーSII(GT-I9100)を持っています。 OSバージョン - 2.3.3。 kiesに接続するたびに、利用可能なソフトウェアのアップグレードが見つかりません。 OSをアップグレードする方法は他にありますか? ...

6  ジンジャーブレッド電話AAAAレコードの場合はクエリ?  ( Gingerbread phone only queries for aaaa records ) 
昨日から(通常のIPv4に加えて)私のLANのIPv6(ネイティブIPv6は私のISPによって提供されます)。 私はすべてがうまくいくと働くAndroid 3.1タブレット(ASUSトランス101)を持っています。インターネット上のIPv4とIPv6のWebサ...

7  My WiFiのトラブルシューティング - IPアドレスを取得できません  ( Troubleshooting my wifi cant get an ip address ) 
サムスンギャラクシーGIO(Android 2.3)を使用しています。そして私はWiFi接続を取得できません。私の兄弟はいくつかの携帯電話を持っていて、接続を得ることができます。 WiFiを有効にすると、ルータに接続しようとします。それはそれからIPアドレス...