Hi Lalelu,
das Topic ist zwar schon nen Monat her, aber immerhin
Du hast schon recht, man könnte RSA alleine für die Regenerierung der Session Keys hernehmen, allerdings ist RSA beim Re-generieren von Keys mit gleichen Parametern recht langsam.
Und genau das macht OpenVPN: Es erstellt (standartmässig) jede Stunde einen neuen Sessionkey mit den gleichen Parametern wie auch in den vorherigen Sessionkeys benutzt wurden.
DH wiederum hat den nachteil keine Authentifizierung an sich zu unterstützen, damit hast du das Problem dass der Empfänger des keys nciht überprüfen kann ob der DH key während der Übertragung (-> Man in the Middle) geändert wurde.
Da DH wohl wesentlich schneller neue keys generieren kann, aber keine Authentifizierung unterstützt wird einfach ein mix genommen:
RSA zur Key-Authentifizierung und DH zur Key-Generierung.
Pdf Seite 19: http://www.sans.org/reading_room/whitepapers/vpns/openvpn-ssl-vpn-revolution_1459
Genau deine Frage in english: Re: [Openvpn-users] what are DH parameters for
Gruß