Jeg kan ikke finne mye informasjon om PFS (Perfect Forward Secrecy) -grupper, så jeg er usikker på hva jeg skal foreslå for en sikker IPSec-konfigurasjon.
Eventuelle forslag til PFS-grupper som ikke anbefales?
Hva er implikasjonen for å bruke bedre PFS-grupper?
Kommentarer
- Som svar på tittelspørsmålet sier Storbritannia ' s NCSC ideelt sett " 256bit random ECP (RFC5903) Group 19 " eller, hvis ikke, " Gruppe 14 (2048-bit MODP Group) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
Svar
Det du omtaler som «PFS-grupper» er mer presist Diffie-Hellman-grupper. Internet Key Exchange (IKE) -protokollen bruker Diffie-Hellman for å utlede nøkkel materiale for både IKE og IPsec sikkerhetsforeninger (SA). Med IKEv2, k eys for den første IPsec (eller Child) SA er avledet fra IKE-nøkkelmaterialet (det er ingen DH-utveksling under IKE_AUTH-utvekslingen som følger den første IKE_SA_INIT-utvekslingen). En separat DH-sentral kan eventuelt brukes med CREATE_CHILD_SA-sentraler for Child SA-er opprettet senere eller deres nøkkel. Bare for å søke om IKE SA på nytt er det obligatorisk å utveksle DH (så selv om det ikke brukes noen separat DH-utveksling for hvert Child SA, vil nøkkelmaterialet deres bli hentet fra nye DH-hemmeligheter når IKE SA er blitt nøkkel igjen).
De for tiden definerte DH-gruppene for IKEv2 er oppført i Transform Type 4 – Transform IDs for Diffie-Hellman Group . I 2017 ble RFC 8247 gitt ut med anbefalinger angående algoritmer for IKEv2, inkludert Diffie-Hellman-grupper i avsnitt 2.4 . I følge det er gruppene som skal unngås
- MODP-gruppene under 2048-bit (gruppe 1, 2 og 5), fordi selv gruppe 5 (1536-bit) antas å være brytbar av angriperne på nasjonalt statsnivå i nær fremtid,
- og de MODP-gruppene med primordergrupper (22, 23 og 24), da gruppe 22 allerede var vist å være svak (brytbar av akademia). / li>
Så for MODP bør minst 2048 bit og for ECP brukes minst 256 bit. For en generell vurdering av den kryptografiske styrken til gruppene keylength.com kan være nyttig.
Hva er implikasjonen for å bruke bedre PFS-grupper?
To problemer kan oppstå:
- Jo større gruppe, desto dyrere er nøkkelavledningen (dette er for det meste en bekymring for MODP-grupper), så som gatewayoperatør kan dette være et problem hvis det er mange kunder som oppretter SAer samtidig (maskinvareakselerasjon kan hjelpe).
- Store MODP-grupper kan potensielt forårsake IP-fragmentering fordi IKE_SA_INIT-meldingene, som transporterer de offentlige DH-verdiene, overskrider MTU (spesielt for klienter som også sender mange sertifikatanmodninger). Dette er et problem hvis slike fragmenter blir droppet av mellomliggende brannmurer / rutere. IKEv2-fragmentering (RFC 7383) hjelper ikke her, siden den utelukkende opererer på krypterte meldinger (dvs. starter med IKE_AUTH).