PFS (Perfect Forward Secrecy) 그룹에 대한 정보를 많이 찾을 수 없어 안전한 IPSec 구성을 위해 무엇을 제안해야할지 모르겠습니다.
권장되지 않은 PFS 그룹에 대한 제안 사항이 있습니까?
더 나은 PFS 그룹 사용에 대한 의미는 무엇입니까?
댓글
- 제목 질문에 대한 대답으로 영국 ' NCSC는 이상적으로 " 256 비트 임의 ECP (RFC5903) 그룹 19를 말합니다. " 또는 실패하면 " 그룹 14 (2048 비트 MODP 그룹) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
Answer
“PFS 그룹”은보다 정확하게 Diffie-Hellman 그룹입니다. IKE (Internet Key Exchange) 프로토콜은 Diffie-Hellman을 사용하여 키를 파생합니다. IKE 및 IPsec SA (보안 연결)에 대한 자료입니다. IKEv2를 사용하면 첫 번째 IPsec (또는 하위) SA에 대한 ey는 IKE 키 자료에서 파생됩니다 (초기 IKE_SA_INIT 교환 이후의 IKE_AUTH 교환 동안 DH 교환이 없음). 나중에 생성 된 하위 SA 또는 키 재 지정에 대한 CREATE_CHILD_SA 교환과 함께 별도의 DH 교환을 선택적으로 사용할 수 있습니다. IKE SA 자체의 키를 다시 입력하는 경우에만 DH 교환이 필수입니다 (따라서 각 하위 SA에 대해 별도의 DH 교환이 사용되지 않더라도 IKE SA의 키가 다시 지정되면 새 DH 암호에서 키 자료가 파생됩니다).
현재 IKEv2에 대해 정의 된 DH 그룹은 변환 유형 4-Diffie-Hellman 그룹 변환 ID 에 나열됩니다. 2017 년 RFC 8247 이 섹션 2.4의 Diffie-Hellman 그룹을 포함하여 IKEv2의 알고리즘에 대한 권장 사항과 함께 출시되었습니다. . 이에 따르면 피해야 할 그룹은
- 2048 비트 미만의 MODP 그룹 (그룹 1, 2 및 5)입니다. 그룹 5 (1536- 비트)도 가까운 장래에 국가 수준의 공격자들
- 그리고 22 그룹이 이미 약한 것으로 나타났기 때문에 (학계에 의해 깨지기 쉬운) 소그룹 (22, 23, 24)을 가진 MODP 그룹.
따라서 MODP의 경우 최소 2048 비트, ECP의 경우 최소 256 비트를 사용해야합니다. 그룹의 암호화 강도에 대한 일반적인 평가에는 keylength.com 이 유용 할 수 있습니다.
더 나은 PFS 그룹 사용에 대한 의미는 무엇입니까?
두 가지 문제가 발생할 수 있습니다.
- 그룹 일수록 키 파생 비용이 더 많이 들기 때문에 (대부분 MODP 그룹의 문제임) 게이트웨이 운영자로서 동시에 SA를 생성하는 클라이언트가 많은 경우 문제가 될 수 있습니다 (하드웨어 가속이 도움이 될 수 있음).
- 대규모 MODP 그룹은 공용 DH 값을 전송하는 IKE_SA_INIT 메시지가 MTU를 초과하기 때문에 잠재적으로 IP 조각화를 일으킬 수 있습니다 (특히 많은 인증서 요청 페이로드를 전송하는 클라이언트의 경우). 이러한 조각이 중간 방화벽 / 라우터에 의해 삭제되는 경우 문제가됩니다. IKEv2 조각화 (RFC 7383)는 암호화 된 메시지 (예 : IKE_AUTH로 시작)에서만 작동하므로 여기서는 도움이되지 않습니다.