Contrairement à la gestion des clef RSA, l'utilisation d'une clef statique pré-partagée présente le bénéfice d'être simple. Le seul inconvénient de l'utilisation des clef statiques est que vous augmentez la notion de perfect forward security, ce qui signifie que si un attaquant vole la clef statique, tout ce qui est chiffré avec cette clef doit être considéré comme compromis.
Générez une clef statique avec la commande suivante :
openvpn --genkey --secret static.key
La clef statique est formatée en ascii, et apparaît comme cela :
-----BEGIN OpenVPN Static key V1----- e5e4d6af39289d53 171ecc237a8f996a 97743d146661405e c724d5913c550a0c 30a48e52dfbeceb6 e2e7bd4a8357df78 4609fe35bbe99c32 bdf974952ade8fb9 71c204aaf4f256ba eeda7aed4822ff98 fd66da2efa9bf8c5 e70996353e0f96a9 c94c9f9afb17637b 283da25cc99b37bf 6f7e15b38aedc3e8 e6adb40fca5c5463 -----END OpenVPN Static key V1-----
Un fichier de clef statique sous OpenVPN contient suffisament d'entropie pour générer aussi bien un clef cipher de 512 bits et une clef HMAV de 512 bits, pour l'authentification.
Copiez static.key sur l'autre extrémité du vpn, via un média sécurisé, tel qu'avec scp, ou par copié-collé avec ssh.