Ich kann nicht viele Informationen zu PFS-Gruppen (Perfect Forward Secrecy) finden, daher bin ich mir nicht sicher, was ich für eine sichere IPSec-Konfiguration vorschlagen soll.
Vorschläge zu PFS-Gruppen, die nicht empfohlen werden?
Was bedeutet die Verwendung besserer PFS-Gruppen?
Kommentare
- Als Antwort auf die Titelfrage sagt die britische NCSC ' idealerweise " 256-Bit-Zufalls-ECP (RFC5903) Gruppe 19 " oder, falls dies nicht der Fall ist, " Gruppe 14 (2048-Bit-MODP-Gruppe) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
Antwort
Was Sie als „PFS-Gruppen“ bezeichnen, sind genauer Diffie-Hellman-Gruppen. Das IKE-Protokoll (Internet Key Exchange) verwendet Diffie-Hellman, um Schlüssel abzuleiten Material für die IKE- und IPsec-Sicherheitszuordnungen (SA). Mit IKEv2 kann die k eys für die erste IPSec- (oder untergeordnete) SA werden aus dem IKE-Schlüsselmaterial abgeleitet (es gibt keinen DH-Austausch während des IKE_AUTH-Austauschs, der auf den anfänglichen IKE_SA_INIT-Austausch folgt). Ein separater DH-Austausch kann optional mit CREATE_CHILD_SA-Austauschen für später erstellte untergeordnete Sicherheitszuordnungen oder deren Neuschlüsselung verwendet werden. Nur um die IKE SA selbst neu zu verschlüsseln, ist ein DH-Austausch obligatorisch (selbst wenn für jede Child SA kein separater DH-Austausch verwendet wird, wird ihr Schlüsselmaterial aus neuen DH-Geheimnissen abgeleitet, sobald die IKE SA erneut verschlüsselt wurde).
Die aktuell definierten DH-Gruppen für IKEv2 sind in Transformationstyp 4 – Diffie-Hellman-Gruppentransformations-IDs aufgeführt. Im Jahr 2017 wurde RFC 8247 mit Empfehlungen zu Algorithmen für IKEv2 veröffentlicht, einschließlich Diffie-Hellman-Gruppen in Abschnitt 2.4 . Demnach sind die zu vermeidenden Gruppen
- die MODP-Gruppen unter 2048-Bit (Gruppen 1, 2 und 5), da angenommen wird, dass sogar Gruppe 5 (1536-Bit) durch zerbrechlich ist Angreifer auf Nationalstaatsebene in naher Zukunft,
- und solche MODP-Gruppen mit Untergruppen erster Ordnung (22, 23 und 24), da sich Gruppe 22 bereits als schwach erwiesen hat (von der Wissenschaft zerbrechlich) / li>
Für MODP sollten also mindestens 2048 Bit und für ECP mindestens 256 Bit verwendet werden. Für eine allgemeine Beurteilung der kryptografischen Stärke der Gruppen kann keylength.com hilfreich sein.
Was bedeutet die Verwendung besserer PFS-Gruppen?
Zwei Probleme können auftreten:
- Je größer die Gruppe, je rechenintensiver die Schlüsselableitung (dies ist hauptsächlich bei MODP-Gruppen ein Problem). Als Gateway-Betreiber kann dies ein Problem sein, wenn viele Clients gleichzeitig SAs erstellen (Hardwarebeschleunigung kann helfen).
- Große MODP-Gruppen können möglicherweise eine IP-Fragmentierung verursachen, da die IKE_SA_INIT-Nachrichten, die die öffentlichen DH-Werte transportieren, die MTU überschreiten (insbesondere für Clients, die auch viele Nutzdaten für Zertifikatsanforderungen senden). Dies ist ein Problem, wenn solche Fragmente von Zwischenfirewalls / Routern gelöscht werden. Die IKEv2-Fragmentierung (RFC 7383) hilft hier nicht weiter, da sie ausschließlich verschlüsselte Nachrichten verarbeitet (d. H. Beginnend mit IKE_AUTH).