Nem találok sok információt a PFS (Tökéletes továbbítási titoktartás) csoportokról, így nem tudom, mit javasoljak a biztonságos IPSec konfigurációhoz.
Van olyan javaslat a PFS-csoportokról, amelyeket nem ajánlunk?
Mi következik a jobb PFS-csoportok használatáról?
Megjegyzések
- A cím kérdésére válaszolva az Egyesült Királyság ' s NCSC ideális esetben " 256bit véletlenszerű ECP (RFC5903) 19. csoportot mond " vagy ennek hiányában " 14. csoport (2048 bites MODP csoport) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
Válasz
Amiket Ön “PFS-csoportoknak” nevez, azok pontosabban Diffie-Hellman-csoportok. Az Internet Key Exchange (IKE) protokoll Diffie-Hellman-t használja a kulcs levezetésére. anyag az IKE és az IPsec biztonsági egyesületek (SA) számára egyaránt. Az IKEv2 segítségével a k Az első IPsec (vagy Child) SA eys az IKE kulcsanyagból származik (az IKE_AUTH csere során nincs DH csere, amely a kezdeti IKE_SA_INIT cserét követi). Külön DH csere alkalmazható opcionálisan a CREATE_CHILD_SA cserékkel a később létrehozott Child SA-khoz vagy azok újbóli megnyomásához. Csak az IKE SA újbóli elérése kötelező a DH cseréje (tehát ha az egyes Child SA-khoz nem használunk külön DH cserét, akkor kulcsfontosságú anyaguk új DH titkokból származik, amint az IKE SA újból megjelenik).
Az IKEv2 számára jelenleg definiált DH csoportok a 4-es típusú transzformáció – Diffie-Hellman-csoport transzformációs azonosítói listában találhatók. 2017-ben kiadták az RFC 8247 ajánlásokat az IKEv2 algoritmusaira vonatkozóan, beleértve a Diffie-Hellman csoportokat a 2.4 szakaszban . Eszerint az elkerülendő csoportok
- a 2048 bites MODP csoportok (1., 2. és 5. csoport), mert feltételezzük, hogy még az 5. (1536 bites) csoport is nemzetállami szintű támadók a közeljövőben,
- és azok a MODP-csoportok, amelyek fő rendű alcsoportokkal rendelkeznek (22., 23. és 24.), mivel a 22. csoport már gyengének bizonyult (az akadémia által feltörhető). / li>
Tehát a MODP-hez legalább 2048, az ECP-hez pedig legalább 256 bitet kell használni. Az keylength.com csoportok kriptográfiai erősségének általános értékeléséhez hasznos lehet.
Mi a következménye a jobb PFS-csoportok használatának?
Két probléma merülhet fel:
- Minél nagyobb, annál nagyobb csoport, annál nagyobb a számítás szempontjából drágább a kulcs levezetése (ez leginkább a MODP-csoportokkal foglalkozik), így átjáró-operátorként ez problémát jelenthet, ha sok ügyfél hoz létre egyidejűleg SA-t (a hardveres gyorsítás segíthet).
- A nagy MODP-csoportok potenciálisan IP-szétaprózódást okozhatnak, mivel a nyilvános DH-értékeket továbbító IKE_SA_INIT üzenetek meghaladják az MTU-t (különösen azoknál az ügyfeleknél, akik szintén sok tanúsítványkérelem hasznos terhet küldenek). Ez akkor jelent problémát, ha az ilyen töredékeket közbenső tűzfalak / útválasztók dobják le. Az IKEv2 töredezettség (RFC 7383) itt nem segít, mivel kizárólag titkosított üzeneteken működik (vagyis az IKE_AUTH kezdőbetűvel).