OpenVPN与Android 2.3.x - 安全问题 -- 2.3-gingerbread 领域 和 security 领域 和 encryption 领域 和 openvpn 领域 android 相关 的问题

OpenVPN with Android 2.3.x - security concerns


6
vote

问题

中文

我需要使用我的Android 2.3.x手机来访问OpenVPN服务器。我有cm 7,支持openvpn和tun。我的主要关注点是我不知道将钥匙放在哪里。如果我的手机掌握在错误的手中,我就会把钥匙留在开放状态,我不能拥有它。

如果我有一个IC电话,我会有完整的文件系统加密,我会安全(r)。所以有另一种还是一些技术,我不知道这可以将证书和钥匙安全地存放在手机上?

英文原文

I need to use my Android 2.3.x phone to access an OpenVPN server. I have CM 7 with built in support for OpenVPN and tun. My main concern is that I don't know where to put the keys in. If my phone gets in the wrong hands, I'm leaving the keys out in the open and I can't have that.

If I had an ICS phone, I'd have full file system encryption and I'd be safe(r). So is there an alternative or some technique I'm not aware of that can store the certificates and the key securely on the phone?

           

回答列表

1
 
vote

如果维护OpenVPN服务器,则可以生成需要使用密码的密钥。该技术在 http://openvpn.net/index。 PHP /开源/文档/ howto.html#pki 。

滚动到标题生成证书&amp的部分; 3客户端的键。您将想使用 build-key-pass 脚本来生成受密码保护的密钥。如果您的手机陷入错误的手中,这将防止您的钥匙恶意使用,尽管我并不完全确定CM 7的OpenVPN实现是否支持它。

如果您没有使用 build-key-pass 生成并注册自己的键,那么实际上没有实用的方法来确保钥匙的安全而无需全设备加密。< / p>

 

If you maintain the OpenVPN server, you can generate keys that require a password to be used. The technique is described at http://openvpn.net/index.php/open-source/documentation/howto.html#pki.

Scroll to the section titled Generate certificates & keys for 3 clients. You will want to use the build-key-pass script to generate a password-protected key. This will prevent your key from being used maliciously if your phone falls into the wrong hands, though I am not entirely sure if CM 7's OpenVPN implementation supports it.

If you don't have the ability to use build-key-pass to generate and register your own keys, then there is really no practical way to ensure the safety of your key without full-device encryption.

 
 
   
   
1
 
vote
vote
最佳答案
 

好的,我在这里跳了枪,并在没有尝试首先尝试的问题。解决方案简单且非常安全。首先,在与 openssl pkcs12 -export -in android.cer -inkey android.key -certfile ca.crt -name android -out certs.p12 的服务器上,在组合服务器证书的服务器上创建一个pkcs12组合密钥。在此期间,您将发出解密密码。您可以完全安全地将该组合关键转移到SD卡。接下来,您将在Android Secure存储中导入其中,然后您可以删除PKCS12密钥。

之后,你很好,钥匙在密码保护的保险库中,因此无法访问任何其他人。不言而喻,您需要使用解锁密码保护手机。

 

OK, I've jumped the gun here and asked a question without trying things out first. The solution is simple and very secure. First, you create a PKCS12 combo-key on the server that combines the server certificate, the client certificate and key with openssl pkcs12 -export -in android.cer -inkey android.key -certfile ca.crt -name android -out certs.p12. During that you hafta issue a decrypt password. You're perfectly safe transferring that combo-key to the SD card. Next, you import that in the Android secure storage and then you can delete the PKCS12 key.

After that, you're good to go, the keys are in a password protected vault and thus inaccessible to anyone else. It goes without saying that you need to protect your phone with a unlock password.

 
 
1
 
vote
vote
最佳答案
 

好的,我在这里跳了枪,并在没有尝试首先尝试的问题。解决方案简单且非常安全。首先,您在服务器上创建一个pkcs12组合密钥,将服务器证书,客户端证书和密钥与 abcdefghijklmn0 相结合。在此期间,您将发出解密密码。您可以完全安全地将该组合关键转移到SD卡。接下来,您将在Android Secure存储中导入其中,然后您可以删除PKCS12密钥。

之后,你很好,钥匙在密码保护的保险库中,因此无法访问任何其他人。不言而喻,您需要使用解锁密码保护手机。

 

OK, I've jumped the gun here and asked a question without trying things out first. The solution is simple and very secure. First, you create a PKCS12 combo-key on the server that combines the server certificate, the client certificate and key with openssl pkcs12 -export -in android.cer -inkey android.key -certfile ca.crt -name android -out certs.p12. During that you hafta issue a decrypt password. You're perfectly safe transferring that combo-key to the SD card. Next, you import that in the Android secure storage and then you can delete the PKCS12 key.

After that, you're good to go, the keys are in a password protected vault and thus inaccessible to anyone else. It goes without saying that you need to protect your phone with a unlock password.

 
 

相关问题

7  默认情况下将应用程序安装到SD卡[复制]  ( Install apps to sd card by default ) 
这个问题已经在这里有答案: 默认安装到sdcard (5个答案) 关闭 ...

4  语音到文本大写字母问题  ( Speech to text uppercase letter problem ) 
每当我通过语音到文本撰写任何类型的消息时,会出现一个问题,似乎是相当烦人的,看似,没有解决方法。 问题: Android将句子的第一个字母大写,这很棒。但随后它会在整个句子的其余部分出现的任何地方都进入每次发生相同的信件。例如: This senTence is an example senTence ThaT...

1  如何将Samsung Galaxy S2(GT-I9100)从Android 2.3.3更新到较新版本?  ( How can i update my samsung galaxy s2 gt i9100 from android 2 3 3 to a newer v ) 
我有一个三星galaxy sii(gt-i9100)。 OS版本-2.3.3。每当我将它连接到kies时,它就找不到可用的软件升级。是否有其他方法可以升级我的操作系统? ...

6  Gingerbread手机只查询AAAA记录?  ( Gingerbread phone only queries for aaaa records ) 
自昨天我(除了常规IPv4)IPv6在我的LAN中的IPv6(本机IPv6由我的ISP提供)。 我有Windows XP,Windows 7和Linux桌面以及Android 3.1平板电脑(华硕变压器101),所有工作都很好。他们可以访问Internet上的IPv4和IPv6网站。 问题在于我的三星Galaxy S...

1  如何在3D中制作菜单幻灯片?  ( How to make menu slide in 3d ) 
我在这里看到它: http:/ /theunlockr.com/2011/04/12/Android-101-how-to-can-use-a-qr-code/ 观看视频,你会看到。我想知道如何在Android Gingerbread上创建这种影响。 谢谢。 ...

0  低内部存储,留言内存全部和迟钝问题三星Galaxy Y Duos Lite  ( Low internal storage message memory full and sluggishness problems on samsung g ) 
我目前通过卸载所有内部内存程序并重新安装它们(换句话说,格式化其数据缓存)来修复该错误。我还发现,您可以使用Link2SD Pro(也移动应用程序的数据文件)来解决此问题。我离开这个线程打开,以便任何人都可以在未来更好的解决方案。 我正在使用三星Galaxy Y Duos Lite(GT-S6102)手机扎根和Li...

7  我的wifi疑难解答 - 无法获得IP地址  ( Troubleshooting my wifi cant get an ip address ) 
我正在使用三星Galaxy Gio(Android 2.3)。我无法获得WiFi连接。我的兄弟有一些电话,可以得到一个连接。 当我启用WiFi时,它会尝试连接到路由器。然后说它试图获得IP地址。但不能这样做并关闭连接。 进入 *#*#4636#*#* 以及它告诉我以下内容: WiFi state: On Netw...

4  如何禁用桌面滚动包裹?  ( How to disable desktop scroll wrap ) 
三星Galaxy Ace 2。 让我们说我有3台桌面,我可以从1到2滚动,从2到3,...从3到1.最后一个是我的不希望的,所以我如何禁用这种效果? ...

0  无法访问Gmail标签中的电子邮件  ( Cant access emails in gmail labels ) 
这是一个突然出现的问题(或者而不是!)在我的Nexus一个运行的Cyanogenmod 7上出现了(或者不是!)。 它很好,然后突然间,我无法再加载任何标签中的任何电子邮件,它只是说"加载对话" 但从不加载或超时。搜索受到同样的影响。 我通常不得不使用标签,所以我忍受了它。但是,它仍在我的新三星Galaxy S2上发...

93  我的手机何时获取Android 2.3更新(Gingerbread)?  ( When will my phone get the android 2 3 update gingerbread ) 
android 2.3(gingerbread)sdk是 2010年12月6日发布。 (高级用户亮点) 当然,并非所有设备都会立即获取此更新,其他设备根本不会得到它。每个制造商和载体常常选择添加其定制修改,往往会延迟官方发布。 当每个设备何时会获得Android 2.3,无论是正式还是非正式的,如果有史以来? ...

7  任何版本的Android是否支持Ad-hoc连接?  ( Does any version of android support ad hoc connections ) 
我只是买了一个 lenovo ideapad a1 ,它运行了Android 2.3。似乎无法将设备连接到Ad-hoc网络。 是否有任何其他Android版本支持此功能? ...

0  在Nexus One上的蓝牙音频丢失  ( Audio dropouts over bluetooth on nexus one ) 
自姜饼更新以来,我的N1在通过蓝牙连接到我的汽车音频系统时,每5-10分钟一直在遇到随机音频丢失问题。音频将正常流媒体,然后我会听到"POP" 声音,音量下降到零,然后立即逐渐消失。整个过程持续大约四分之一的秒,然后一切都恢复到正常下一个辍学。无论我使用哪个音频应用程序都会发生这种情况。当我在耳机或通过内部扬声器中听...

0  如何制作Android 2.3在没有互联网的情况下使用语音识别?  ( How to make android 2 3 to use voice recognition without the need of internet ) 
在我的三星Galaxy Y Duos,GT-S6102B中,您可以按下一个按钮来谈论某事而不是写作。这是一个很棒的行为,但它只有在使用Internet连接时才能才能播放,只能使用Wi-Fi连接运行... 但我想用它离线......任何想法? ...

0  Android 2.3.3和其默认应用程序使用多少磁盘空间?  ( How much disk space does android 2 3 3 and its default apps use ) 
不同的手机宣传不同的总磁盘空间。当您获得带Android 2.3.3及其默认应用程序的全新手机时,那些磁盘空间会花多少? ...

1  生根三星Galaxy S II GT-I9100  ( Rooting samsung galaxy s ii gt i9100 ) 
如何根系三星Galaxy S II GT-I9100(其原始的Android 2.3姜饼),最好是在Linux薄荷下? 本问题特别是GT-I9100版本(不是GT-I9100G和GT-I9100T,ET Cetera),目前在生根索引。 我特别寻找一个没有擦除手机数据的生根方法,如我希望之后恢复数据。我有一个8GB的...




© 2021 it.wenda123.org All Rights Reserved. 问答之家 版权所有


Licensed under cc by-sa 3.0 with attribution required.