Avatar von CoolAllo
  • CoolAllo

mehr als 1000 Beiträge seit 19.06.2003

Um die Komplexität zu verstehen einfach mal openvpn und Wireguard vergleichen

Allein welche Algorithmen openvpn für cipher, key exchange und ähnliches unterstützt ist ein Wust den keiner durchschaut. Eine config um mehr als zwei Clients zu verbinden ist ziemlich aufwendig und hat viele Dinge bei denen man Entscheidungen treffen muss die sich hinterher als unpraktisch oder unsicher herausstellen können. Kompromisse überall.

Auf der anderen Seite steht Wireguard.
Wireguard hat keine Auswahl an Ciphers, sondern es hat eine Entscheidung direkt mit eingebaut. Wenn da etwas unsicher sein sollte, dann wird eine neue Wireguard-Version veröffentlicht, die neue Cipher enthält. Ob man sicher ist erkennt man dann nicht daran ob in einer Config "cipher xy" steht, sondern daran ob die Versionsnummer größer als X ist.
Eine Kompatiblität zu alten Versionen ist dann absichtlich nicht gegeben, während openvpn natürlich rückwärtskompatibel zu allen alten unsicheren Configs sein muss.

Eine Wireguard-Config enthält wenige Zeilen, bei denen es um das wesentliche geht: Zu welcher Adresse verbinde ich mich, welchen öffentlichen Schlüssel erwarte ich, welche IP-Adressen möchte ich dorthin routen und was ich mein eigener privater Schlüssel.
Da kann man nicht viel falsch machen.

Ein solches Tool fehlt bei E-Mail-Verschlüsslung. PGP hat ähnlich openvpn viele viele Optionen, viele an denen man am besten gar nicht dreht, dafür andere die auf ein Default zurückfallen das Kompatibel zu Dingen ist, die 1998 mal Stand der Technik waren.
Wenn dort etwas schief läuft kann man nicht einmal dem Poweruser Vorwürfe machen, denn wer überschaut schon die Details. Ein Anfänger ist sowieso dem ausgeliefert was passiert wenn er einfach nur "Verschlüsseln" anklickt. Und er sollte auch nicht mehr wissen müssen, sonst ist die Bedienung einfach nicht brauchbar.

Bewerten
- +