> положив на ssl - напишешь точно такую же васян-ориентированную фигню, как и wg.Васян для себя прогает лучше чем энтерпрайзные кодеры на продажу. Проверено Торвальдсом и плеядой компаний которые он вынес.
> С аж двумя сомнительной надежности криптоалгоритмами.
Если уж мы об этом:
1) SSL может подсунуть фуфельные алгоритмы если прогер не позаботится явно. В зависимости от over 9000 факторов.
2) Авторы openssl делом доказали что они - криптодилетанты.
3) CVE в openssl - спасибо если не раз в месяц. В том числе и из-за 2).
4) В SSL/TLS официально бывают интересные вещи типа DES с 40-битным ключом и прочие NIST'овские кривые, а PFS - опция, где-то там. А поверх UDP это вообще заводится с тем еще бубном и массой приколов. Так что разглагольствовать о его безопасности может только профан.
5) А заодно у openssl невменяемое апи, которое секурно использовать даже гурам напряжно, а если кто не профессиональный криптограф - упс. С другой стороны, у той подборочки алгоритмов и апи под стать с этим все намного лучше. Оно сделано так что накосячить особо негде. Designed by comittee vs designed by cryptographer - разница.
> Васянам, наверное, сойдет, а у openvpn несколько больший круг пользователей. Попробуй-ка
> без openssl сделать авторизацию с использованием сертификатов?
При том в дефолтном конфиге именно эта конфигурация - позволяет обычному юзеру срубить нефиговых лулзов. Трахнув энтерпрайз во все щели. Теоретически, админ может и законопатить дыру, конечно. Практически - он для этого должен хорошо разбираться в SSL/TLS вообще и в сертификатах в частности. А дефолтный конфиг почему-то весьма уязвим.
> Собственно, нечто похожее сделали с openssh. Результат весьма так себе, при том
> что и задача в разы проще, и оно уже один раз работало без libssl/libcrypto
> - до загребущих ручек опенка.
Не понял этих реверансов. У ssh как протокола даже у самого по себе хватает косяков - довольно много данных течет, например. Если к этому приплюсовать еще и вулны openssl - как-то совсем не здорово. И что такое загребущие руки опенка? Они вроде и начинали openssh кодить? А то что у них наконец приступ адеквата начался и они заметили что openssl как либа ужасна - поздравляю, доползло!