Non riesco a trovare molte informazioni sui gruppi PFS (Perfect Forward Secrecy), quindi non sono sicuro di cosa suggerire per una configurazione IPSec sicura.
Qualche suggerimento sui gruppi PFS che non è consigliato?
Qual è limplicazione per lutilizzo di gruppi PFS migliori?
Commenti
- In risposta alla domanda del titolo, il ' s NCSC del Regno Unito dice idealmente " 256 bit random ECP (RFC5903) Group 19 " o, in caso contrario, " Gruppo 14 (Gruppo MODP a 2048 bit) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
risposta
Ciò a cui ti riferisci come “gruppi PFS” sono più precisamente gruppi Diffie-Hellman. Il protocollo IKE (Internet Key Exchange) utilizza Diffie-Hellman per derivare la chiave materiale per IKE e IPsec Security Association (SA). Con IKEv2, k Gli eys per il primo IPsec (o Child) SA sono derivati dal materiale della chiave IKE (non cè scambio DH durante lo scambio IKE_AUTH che segue lo scambio IKE_SA_INIT iniziale). Uno scambio DH separato può opzionalmente essere utilizzato con scambi CREATE_CHILD_SA per SA figlio creati successivamente o con le loro ricodifiche. Solo per ricodificare la IKE SA stessa è obbligatorio uno scambio DH (quindi, anche se non viene utilizzato alcun scambio DH separato per ogni SA Child, il loro materiale chiave sarà derivato da nuovi segreti DH una volta che IKE SA è stato rekeyed).
I gruppi DH attualmente definiti per IKEv2 sono elencati in Transform Type 4 – Diffie-Hellman Group Transform IDs . Nel 2017, è stato rilasciato RFC 8247 con raccomandazioni sugli algoritmi per IKEv2, inclusi i gruppi Diffie-Hellman nella sezione 2.4 . Secondo esso, i gruppi da evitare sono
- i gruppi MODP al di sotto di 2048 bit (gruppi 1, 2 e 5), perché si presume che anche il gruppo 5 (1536 bit) sia divisibile da attaccanti a livello di stato-nazione nel prossimo futuro,
- e quei gruppi MODP con sottogruppi di primo ordine (22, 23 e 24), poiché il gruppo 22 si è già dimostrato debole (separabile dal mondo accademico).
Quindi per MODP si dovrebbe usare almeno 2048 bit e per ECP almeno 256 bit. Per una valutazione generale della forza crittografica dei gruppi keylength.com potrebbe essere utile.
Qual è limplicazione per lutilizzo di gruppi PFS migliori?
Possono sorgere due problemi:
- Più grande è il group, più costosa dal punto di vista computazionale è la derivazione della chiave (questo è principalmente un problema con i gruppi MODP), quindi come operatore gateway questo potrebbe essere un problema se ci sono molti client che creano SA contemporaneamente (laccelerazione hardware può aiutare).
- Gruppi MODP di grandi dimensioni possono potenzialmente causare la frammentazione IP perché i messaggi IKE_SA_INIT, che trasportano i valori DH pubblici, superano la MTU (in particolare per i client che inviano anche molti payload di richieste di certificati). Questo è un problema se tali frammenti vengono eliminati da firewall / router intermedi. La frammentazione IKEv2 (RFC 7383) non aiuta in questo caso poiché opera esclusivamente su messaggi crittografati (cioè a partire da IKE_AUTH).