b. Thiết bị mạng ảo TAP
3.1.2.2 Thuật toán mã hóa
Cho tới thời điểm này thì sự bảo vệ được cung cấp bởi IPSec và SSL/TLS là khá giống nhau. Chúng đều dựa vào các thuật toán mã hóa do người dùng lựa chọn. Hầu hết các cài đặt của IPSec cho phép lựa chọn một số lượng lớn các thuật toán, OpenVPN cũng cung cấp một danh sách để người dùng lựa chọn nhưng nó cung cấp trước một lựa chọn mặc định rất tốt đó là sử dụng bf-cbc và sha1.
Khi lựa chọn một thuật toán mã hóa đối xứng, có thể bỏ qua bất cứ một lựa chọn nào liên quan đến DES bởi vì DES chỉ sử dụng khóa có độ dài 56 bit và không còn có độ bảo mật cao nữa. Cũng có thể bỏ qua 3DES có độ dài khóa 112 bit vì tuy nó có hiệu quả hơn và vẫn còn đảm bảo được tính bảo mật nhưng nó lại được thực hiện bằng cách áp dụng thuật toán DES 3 lần. Có rất nhiều thuật toán khác nhanh và mạnh hơn mà không cần phải dựa vào 3DES.
Khi không sử dụng khóa chia sẻ trước (pre-shared secret) thì OpenVPN sẽ thay đổi khóa của nó sau mỗi 1 giờ (mặc định), nhưng để tăng tính bảo mật có thể sử dụng thêm chế độ mã hóa dịch chuyển chuỗi khối CBC (Cipher Block Chaining). OpenVPN theo mặc định sử dụng BF-CBC cho thuật toán mã hóa đối xứng của nó. BF-CBC là thuật toán Blowfish trong chế độ CBC sử dụng khóa có độ dài 128 bit. Blowfish là một thuật toán rất mạnh đã được biết là không mắc phải một điểm yếu nào đã biết. Độ dài khóa 128 bit là đủ lớn để tránh được kiểu tấn công brute force. Blowfish không những an toàn mà nó hoạt động còn rất nhanh.
