Ik kan “niet veel informatie vinden over PFS-groepen (Perfect Forward Secrecy), dus ik weet niet zeker wat ik moet voorstellen voor een veilige IPSec-configuratie.
Eventuele suggesties over PFS-groepen die niet worden aanbevolen?
Wat is de implicatie voor het gebruik van betere PFS-groepen?
Opmerkingen
- In antwoord op de titelvraag zegt de UK ' s NCSC idealiter " 256-bits willekeurige ECP (RFC5903) Groep 19 " of, als dat niet lukt, " Groep 14 (2048-bits MODP-groep) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
Answer
Wat u “PFS-groepen” noemt, zijn meer bepaald Diffie-Hellman-groepen. Het Internet Key Exchange (IKE) -protocol gebruikt Diffie-Hellman om materiaal voor zowel de IKE- als IPsec-beveiligingsassociaties (SA) .Met IKEv2, de k eys voor de eerste IPsec (of kind) SA zijn afgeleid van het IKE-sleutelmateriaal (er is geen DH-uitwisseling tijdens de IKE_AUTH-uitwisseling die volgt op de initiële IKE_SA_INIT-uitwisseling). Een afzonderlijke DH-uitwisseling kan optioneel worden gebruikt met CREATE_CHILD_SA-uitwisselingen voor kind-SAs die later zijn gemaakt of voor hun nieuwe sleutels. Alleen om de IKE SA zelf opnieuw te coderen is een DH-uitwisseling verplicht (dus zelfs als er geen afzonderlijke DH-uitwisseling wordt gebruikt voor elke Child SA, zal hun sleutelmateriaal worden afgeleid van nieuwe DH-geheimen zodra de IKE SA opnieuw is versleuteld).
De momenteel gedefinieerde DH-groepen voor IKEv2 worden vermeld in Transformatietype 4 – Diffie-Hellman Group Transform-IDs . In 2017 werd RFC 8247 uitgebracht met aanbevelingen voor algoritmen voor IKEv2, waaronder Diffie-Hellman-groepen in sectie 2.4 . Volgens het zijn de groepen die moeten worden vermeden
- de MODP-groepen onder 2048-bit (groepen 1, 2 en 5), omdat wordt aangenomen dat zelfs groep 5 (1536-bit) breekbaar is door aanvallers op nationaal niveau in de nabije toekomst,
- en die MODP-groepen met subgroepen van de hoogste orde (22, 23 en 24), aangezien groep 22 al zwak bleek te zijn (breekbaar door de academische wereld). / li>
Dus voor MODP moet minimaal 2048 bit en voor ECP minimaal 256 bit worden gebruikt. Voor een algemene beoordeling van de cryptografische sterkte van de groepen kan keylength.com nuttig zijn.
Wat is de implicatie voor het gebruik van betere PFS-groepen?
Er kunnen zich twee problemen voordoen:
- Hoe groter de groep, des te rekenkundig duurder de sleutelafleiding (dit is meestal een probleem met MODP-groepen), dus als gateway-operator kan dit een probleem zijn als er veel clients tegelijkertijd SAs maken (hardwareversnelling kan helpen).
- Grote MODP-groepen kunnen mogelijk IP-fragmentatie veroorzaken omdat de IKE_SA_INIT-berichten, die de openbare DH-waarden transporteren, de MTU overschrijden (in het bijzonder voor clients die ook veel payloads voor certificaatverzoeken verzenden). Dit is een probleem als dergelijke fragmenten worden verwijderd door tussenliggende firewalls / routers. IKEv2-fragmentatie (RFC 7383) helpt hier niet omdat het uitsluitend werkt op gecodeerde berichten (d.w.z. beginnend met IKE_AUTH).