"Модный" OpenVPN от SatGate

Здравствуйте!
Помогите разобраться с реализацией OpenVPN соединения от спутникового интернет провайдера SatGate.
Провайдер по данной ссылке http://support.satgate.net/openvpn/index.php предлагает скачать инсталяционный дистрибутив, который содержит в директории /config в том числе конфигурационные файлы и файл с секретным приватным ключом – client.key (RSA PRIVATE KEY).

Персональный ключей SatGate не предоставляет.
Получается, что используется один секретный ключ, находящий в свободном доступе, для всех клиентов?
Тогда, что это за VPN, такой? Если секретный ключ известен всем?
Я правильно понимаю, что для "рыболовов" любителей, расшифровка моего входящего трафика, идущего через спутник, не составляет большого труда (из-за знания секретного ключа)?


Содержимое satgate.ovpn
nobind
remote xxx.xxx.xxx.xxx
port 1194
dev tap
proto udp
auth-user-pass authinfo
pull
tls-client
reneg-sec 1209600
ca tmp-ca.crt
cert client.crt
key client.key
comp-lzo

Комментарии
— SATtva (15/12/2007 21:08)   
предлагает скачать инсталяционный дистрибутив, который содержит в директории /config в том числе конфигурационные файлы и файл с секретным приватным ключом

Ключ генерируется установленной программой или поставляется в самом дистрибутиве?
— BeeMoon (15/12/2007 21:11)   
Ключ поставляется в самом дистибутиве, и имеет дату создания 01.11.2005г.
— SATtva (15/12/2007 21:38)   
Тогда это довольно странный VPN...
— torrero05 (03/01/2008 15:36)   
Вы заблуждаетесь в одном – satgate использует openVPN не для защиты информации, а для маршрутизации.
Защита даже в этом случае, конечно, от "рыболовов" защищает, так как поставляемые ключи и сертификат используются только для организации защищённого канала управления по земле (и то я не до конца уверен в том, что канал управления тоже использует временные ключи) и общей аутентификации своих клиентов (по единому сертификату), персональная аутентификация клиента идёт по паролю, а защита канала данных использует временные сеансовые ключи.
Например, вот кусочек моего лога – ключи сбросились через час

Можете быть спокойны, защита работает на 100%.
— BeeMoon (14/01/2008 21:25)   
Да кстати, использование OpenVPN как средства для маршрутизации, а не для защиты информации оправдывает использование тестового приватного ключа. Только как то не аккуратненько получается, без ссылочки на официальном сайте провайдера.
Только меня смутила фраза:
torrero05:
так как поставляемые ключи и сертификат используются только для организации защищённого канала управления по земле

до этого мне казалось, что в приведенном файле конфигурации нет явной команды использовать шифрования трафика только для наземного канала.

torrero05:
Например, вот кусочек моего лога – ключи сбросились через час

Я так понимаю, что ежечасного обновления ключа, Вы добились исключив из .ovpn файла параметра reneg-sec 1209600?
— torrero05 (27/01/2008 00:06, исправлен 27/01/2008 00:09)   
BeeMoon
torrero05
так как поставляемые ключи и сертификат используются только для организации защищённого канала управления по земле
до этого мне казалось, что в приведенном файле конфигурации нет явной команды использовать шифрования трафика только для наземного канала.

Эээээ, ну вот, неточно выразился, и понеслось. Для защиты канала данных (идущего обратно через спутник) используется временный сеансовый ключ, в данном случае с заданным сроком жизни 1209600 секунд. А явной командой использовать шифрование является tls-client, которая так же задаёт и другое поведение и параметры. Чтобы явно отключить шифрование в этом случае, нужно вместе с tls-client указывать
cipher none


BeeMoon
Я так понимаю, что ежечасного обновления ключа, Вы добились исключив из .ovpn файла параметра reneg-sec 1209600?

Я привёл кусок лога не от этого провайдера, там специальной настройки для срока жизни ключей канала данных не указывалось, поэтому используется default 3600 секунд. В принципе, да, если в этой конфигурации удалить reneg-sec 1209600, то клиент будет каждые (default) 3600 сек. требовать у сервера сменить ключ, и фиг тот откажется.