どのPFSグループがIPSec構成に推奨されますか？

「PFSグループ」と呼ばれるものは、より正確にはDiffie-Hellmanグループです。InternetKeyExchange（IKE）プロトコルは、Diffie-Hellmanを使用してキーを取得します。 IKEとIPsecの両方のセキュリティアソシエーション（SA）の資料。IKEv2では、k最初のIPsec（または子）SAのeyは、IKEキーマテリアルから派生します（最初のIKE_SA_INIT交換に続くIKE_AUTH交換中にDH交換はありません）。オプションで、後で作成される子SAのCREATE_CHILD_SA交換またはそれらのキーの再生成とともに、個別のDH交換を使用できます。 IKE SA自体のキーを再生成する場合にのみ、DH交換が必須です（したがって、子SAごとに個別のDH交換が使用されていない場合でも、IKE SAのキーが再生成されると、キーマテリアルは新しいDHシークレットから取得されます）。

現在定義されているIKEv2のDHグループは、 変換タイプ4-Diffie-Hellmanグループ変換ID にリストされています。 2017年に、 RFC 8247 がリリースされ、セクション2.4の Diffie-Hellmanグループを含むIKEv2のアルゴリズムに関する推奨事項が示されました。 。それによると、避けるべきグループは

• 2048ビット未満のMODPグループ（グループ1、2、5）です。これは、グループ5（1536ビット）でさえも次のように解読可能であると想定されているためです。近い将来、国民国家レベルの攻撃者
• およびグループ22はすでに弱いことが示されているため、プライムオーダーサブグループ（22、23、および24）を持つMODPグループ（学界によって破壊可能）。

したがって、MODPの場合は少なくとも2048ビット、ECPの場合は少なくとも256ビットを使用する必要があります。グループの暗号強度の一般的な評価には、 keylength.com が役立つ場合があります。

より優れたPFSグループを使用することの意味は何ですか？

2つの問題が発生する可能性があります：

1. 大きいほどグループ、キーの導出は計算コストが高くなるため（これは、MODPグループで主に懸念されます）、ゲートウェイオペレーターとして、SAを同時に作成するクライアントが多数ある場合は問題になる可能性があります（ハードウェアアクセラレーションが役立ちます）。
2. 大規模なMODPグループは、パブリックDH値を転送するIKE_SA_INITメッセージがMTUを超えるため（特に、多くの証明書要求ペイロードも送信するクライアントの場合）、IPフラグメンテーションを引き起こす可能性があります。このようなフラグメントが中間ファイアウォール/ルーターによってドロップされた場合、これは問題になります。 IKEv2フラグメンテーション（RFC 7383）は、暗号化されたメッセージ（つまり、IKE_AUTHで始まる）に対してのみ動作するため、ここでは役に立ちません。