Je ne trouve pas beaucoup dinformations sur les groupes PFS (Perfect Forward Secrecy), donc je ne sais pas quoi suggérer pour une configuration IPSec sécurisée.
Des suggestions sur les groupes PFS qui ne sont pas recommandées?
Quelle est limplication de lutilisation de meilleurs groupes PFS?
Commentaires
- En réponse à la question sur le titre, le NCSC du Royaume-Uni ' dit idéalement " Groupe 19 ECP aléatoire 256 bits (RFC5903) " ou, à défaut, " Groupe 14 (Groupe MODP 2048 bits) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
Réponse
Ce que vous appelez « Groupes PFS » sont plus précisément des groupes Diffie-Hellman. Le protocole Internet Key Exchange (IKE) utilise Diffie-Hellman pour dériver la clé matériel pour les associations de sécurité (SA) IKE et IPsec. Avec IKEv2, le k eys pour la première SA IPsec (ou enfant) sont dérivés du matériel de clé IKE (il ny a pas déchange DH pendant léchange IKE_AUTH qui suit léchange initial IKE_SA_INIT). Un échange DH séparé peut éventuellement être utilisé avec les échanges CREATE_CHILD_SA pour les SA enfants créées plus tard ou leurs nouvelles clés. Seul le renouvellement de la clé de la SA IKE elle-même est un échange DH obligatoire (donc même si aucun échange DH séparé nest utilisé pour chaque SA enfant, leur matériel de clé sera-t-il dérivé de nouveaux secrets DH une fois que la SA IKE aura été recréée).
Les groupes DH actuellement définis pour IKEv2 sont répertoriés dans Transform Type 4 – Diffie-Hellman Group Transform IDs . En 2017, la RFC 8247 a été publiée avec des recommandations concernant les algorithmes pour IKEv2, y compris les groupes Diffie-Hellman dans la section 2.4 . Selon lui, les groupes à éviter sont
- les groupes MODP inférieurs à 2048 bits (groupes 1, 2 et 5), car même le groupe 5 (1536 bits) est supposé être cassable par les attaquants au niveau des États-nations dans un proche avenir,
- et les groupes MODP avec des sous-groupes dordre premier (22, 23 et 24), car le groupe 22 sest déjà avéré faible (cassable par les universitaires).
Donc pour MODP au moins 2048 bits et pour ECP au moins 256 bits doivent être utilisés. Pour une évaluation générale de la force cryptographique des groupes, keylength.com pourrait être utile.
Quelle est limplication de lutilisation de meilleurs groupes PFS?
Deux problèmes peuvent survenir:
- Plus le groupe, plus la dérivation de clé est coûteuse en calcul (cest surtout un problème avec les groupes MODP), donc en tant quopérateur de passerelle, cela peut être un problème sil y a beaucoup de clients créant des SA simultanément (laccélération matérielle peut aider).
- Les grands groupes MODP peuvent potentiellement provoquer une fragmentation IP car les messages IKE_SA_INIT, qui transportent les valeurs DH publiques, dépassent le MTU (en particulier pour les clients qui envoient également de nombreuses charges utiles de demande de certificat). Cest un problème si de tels fragments sont supprimés par des pare-feu / routeurs intermédiaires. La fragmentation IKEv2 (RFC 7383) naide pas ici car elle fonctionne exclusivement sur les messages chiffrés (cest-à-dire commençant par IKE_AUTH).