Jeg kan ikke finde meget information om PFS (Perfect Forward Secrecy) -grupper, så jeg er usikker på, hvad jeg skal foreslå til en sikker IPSec-konfiguration.
Eventuelle forslag til PFS-grupper, der ikke anbefales?
Hvad er implikationen for at bruge bedre PFS-grupper?
Kommentarer
- Som svar på titelspørgsmålet siger UK ' s NCSC ideelt set " 256bit tilfældig ECP (RFC5903) Gruppe 19 " eller, hvis det ikke er tilfældet, " Gruppe 14 (2048-bit MODP Group) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
Svar
Hvad du kalder “PFS-grupper” er mere præcist Diffie-Hellman-grupper. Internet Key Exchange (IKE) -protokollen bruger Diffie-Hellman til at udlede nøgle materiale til både IKE og IPsec sikkerhedsforeninger (SA). Med IKEv2 k eys til den første IPsec (eller Child) SA stammer fra IKE-nøglematerialet (der er ingen DH-udveksling under IKE_AUTH-udvekslingen, der følger den indledende IKE_SA_INIT-udveksling). En separat DH-udveksling kan eventuelt bruges med CREATE_CHILD_SA-udvekslinger for Child SAer, der er oprettet senere, eller deres nøgler. Kun for at genindlæse IKE SA i sig selv er en DH-udveksling obligatorisk (så selvom der ikke anvendes nogen separat DH-udveksling for hvert Child SA, vil deres nøglemateriale blive afledt af nye DH-hemmeligheder, når IKE SA er blevet nøglet igen).
De aktuelt definerede DH-grupper for IKEv2 er angivet i Transform Type 4 – Diffie-Hellman Group Transform IDs . I 2017 blev RFC 8247 frigivet med anbefalinger vedrørende algoritmer til IKEv2, inklusive Diffie-Hellman-grupper i afsnit 2.4 . Ifølge det er de grupper, der skal undgås,
- MODP-grupperne under 2048-bit (gruppe 1, 2 og 5), fordi selv gruppe 5 (1536-bit) antages at være brudbar ved angribere på nationalt statsniveau i den nærmeste fremtid,
- og de MODP-grupper med primordrenes undergrupper (22, 23 og 24), da gruppe 22 allerede var vist at være svag (nedbrydelig af den akademiske verden). / li>
Så til MODP skal der mindst bruges 2048 bit og til ECP mindst 256 bit. For en generel vurdering af gruppernes kryptografiske styrke kan keylength.com være nyttigt.
Hvad er implikationen for at bruge bedre PFS-grupper?
To problemer kan opstå:
- Jo større gruppe, jo mere beregningsmæssigt dyrt er nøgledivationen (dette er for det meste et problem med MODP-grupper), så som gatewayoperatør kan dette være et problem, hvis der er mange klienter, der opretter SAer samtidigt (hardwareacceleration kan hjælpe).
- Store MODP-grupper kan potentielt forårsage IP-fragmentering, fordi IKE_SA_INIT-meddelelserne, der transporterer de offentlige DH-værdier, overstiger MTUen (især for klienter, der også sender mange certifikatanmodningsnyttelast). Dette er et problem, hvis sådanne fragmenter droppes af mellemliggende firewalls / routere. IKEv2-fragmentering (RFC 7383) hjælper ikke her, da den udelukkende fungerer på krypterede meddelelser (dvs. starter med IKE_AUTH).