Nemohu najít mnoho informací o skupinách PFS (Perfect Forward Secrecy), takže si nejsem jistý, co navrhnout pro bezpečnou konfiguraci IPSec.
Jakékoli návrhy týkající se skupin PFS, které se nedoporučují?
Jaké jsou důsledky pro používání lepších skupin PFS?
Komentáře
- V odpovědi na titulní otázku uvádí britský ' s NCSC ideálně " 256bitový náhodný ECP (RFC5903) skupina 19 " nebo v opačném případě " skupina 14 (2048bitová skupina MODP) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
Odpověď
To, co označujete jako „Skupiny PFS“, jsou přesněji skupiny Diffie-Hellman. Protokol IKE (Internet Key Exchange) používá k odvození klíče Diffie-Hellman materiál pro asociace zabezpečení IKE i IPsec (SA). S IKEv2 může k Eys pro první IPsec (nebo Child) SA jsou odvozeny z materiálu klíče IKE (během výměny IKE_AUTH, která následuje po počáteční výměně IKE_SA_INIT, nedochází k žádné výměně DH). Samostatnou výměnu DH lze volitelně použít s výměnami CREATE_CHILD_SA pro podřízené SA vytvořené později nebo s jejich opětovným zadáním klíče. Pouze k přepracování samotné IKE SA je povinná výměna DH (takže i když se pro každou Child SA nepoužívá samostatná výměna DH, bude jejich klíčový materiál odvozen z nových tajemství DH, jakmile bude IKE SA přepracována).
Aktuálně definované skupiny DH pro IKEv2 jsou uvedeny v seznamu Transform Type 4 – Diffie-Hellman Group Transform ID . V roce 2017 byl vydán RFC 8247 s doporučeními týkajícími se algoritmů pro IKEv2, včetně skupin Diffie-Hellman v sekci 2.4 . Podle toho jsou skupiny, kterým je třeba se vyhnout,
- skupiny MODP pod 2048 bitů (skupiny 1, 2 a 5), protože i skupina 5 (1536 bitů) je považována za rozbitnou útočníci na národní úrovni v blízké budoucnosti
- a skupiny MODP s podskupinami nejvyššího řádu (22, 23 a 24), protože skupina 22 se již ukázala jako slabá (rozbitelná akademickou obcí).
Takže pro MODP by měl být použit alespoň 2048 bitů a pro ECP alespoň 256 bitů. Pro obecné posouzení kryptografické síly skupin může být užitečný keylength.com .
Jaké jsou důsledky pro používání lepších skupin PFS?
Mohou nastat dva problémy:
- Čím větší je skupina, tím výpočetně nákladnější je odvození klíče (to je většinou problém se skupinami MODP), takže jako operátor brány by to mohl být problém, pokud existuje spousta klientů, kteří vytvářejí SA současně (může pomoci hardwarová akcelerace).
- Velké skupiny MODP mohou potenciálně způsobit fragmentaci IP, protože zprávy IKE_SA_INIT, které přenášejí veřejné hodnoty DH, překračují MTU (zejména u klientů, kteří také odesílají velké množství žádostí o certifikát). To je problém, pokud takové fragmenty zahodí zprostředkující brány firewall / směrovače. Fragmentace IKEv2 (RFC 7383) zde nepomůže, protože funguje výhradně na šifrovaných zprávách (tj. Počínaje IKE_AUTH).