OpenVPN in iOS: private Key in der Keychain

Der private Key einer VPN-Verbindung ist „sensibel“ und sollte daher sicher in der iOS-Keychain gespeichert werden. Ich habe das so gemacht (Infos u.a. von hier): p12-Datei aus herstellen (am besten gleich im owncloud-Verzeichnis machen, dann liegt’s schon da): openssl pkcs12 -export -in handyvpn.steinkopf.net.crt -inkey handyvpn.steinkopf.net.key -certfile ca.crt -name handyvpn.steinkopf.net -out handyvpn.steinkopf.net.p12 OpenVPN-Config-Datei vorbereiten: Basis-Config „ganz Read More…

Java, SSL und selbst-signierte Zertifikate

Wenn man von einem Java-Client aus via SSL auf einen Server zugreifen möchte, der kein „offiziell ge-trustetes“ Zertifikat besitzt, dann kann man Die Prüfung des Zertifikats abschalten. Das ist aber keine gute Idee, weil dann die Sicherheit (fast) völlig dahin ist. Selbst, wenn es „nur“ um eine sichere Test-Umgebung geht, dann könnte es passieren, dass Read More…

Letsencrypt unter Linux neu einrichten

Kostenlose, „saubere“ signierte SSL-Zertifikate gibt es bei https://letsencrypt.org/. Es gibt sicher einen Haufen an Anwendungsmöglichkeiten, aber ich habe es so genutzt: git clone https://github.com/letsencrypt/letsencrypt cd letsencrypt ./letsencrypt-auto –redirect –rsa-key-size 4096 –domains nerdblog.steinkopf.net Erzeugt entsprechende Zertifikate (inkl. dazu notwendiger Requests und Bestätigungen), und erstellt automatisch eine Site in /etc/apache2/sites-available und sites-enabled mit dem Namen nerdblog.steinkopf.net-le-ssl.conf. (Dazu Read More…

Festplatte löschen – mit Zufallszahlen

dd if=/dev/zero of=/dev/sdX bs=1M überschreibt mit Nullen dd if=/dev/urandom of=/dev/sdX bs=1M überschreibt mit Zufallszahlen – ist aber zu langsam (bei einigermaßen aktuellen, großen Platten) openssl enc -aes-256-ctr -pass pass:“$(dd if=/dev/urandom bs=256 count=1 2>/dev/null | base64)“ -nosalt </dev/zero >/dev/sdXX geht schnell. Idee dahinter: /dev/zero mit mit openssl verschlüsselt und nur das Passwort dazu kommt aus /dev/urandom.