Nie mogę znaleźć zbyt wielu informacji o grupach PFS (Perfect Forward Secrecy), więc nie wiem, co zasugerować dla bezpiecznej konfiguracji IPSec.
Jakieś sugestie dotyczące grup PFS, które nie są zalecane?
Jakie są konsekwencje stosowania lepszych grup PFS?
Komentarze
- Odpowiadając na pytanie tytułowe, brytyjskie ' s NCSC mówi idealnie " 256-bitowy losowy ECP (RFC5903), grupa 19 " lub, w przypadku braku tego, " Grupa 14 (2048-bitowa grupa MODP) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
Odpowiedź
To, co nazywasz „grupami PFS”, to dokładniej grupy Diffiego-Hellmana. Protokół Internet Key Exchange (IKE) używa Diffie-Hellman do wyprowadzenia klucza materiał dla skojarzeń zabezpieczeń IKE i IPsec (SA). W przypadku IKEv2, k eys dla pierwszego IPsec (lub Child) SA są wyprowadzane z materiału klucza IKE (nie ma wymiany DH podczas wymiany IKE_AUTH, która następuje po początkowej wymianie IKE_SA_INIT). Oddzielna wymiana DH może być opcjonalnie używana z wymianami CREATE_CHILD_SA dla podrzędnych SA utworzonych później lub ich ponownego klucza. Wymiana klucza jest obowiązkowa tylko w celu ponownego klucza IKE SA (nawet jeśli dla każdego Child SA nie jest używana osobna wymiana DH, ich kluczowy materiał będzie pochodził z nowych sekretów DH po ponownym wprowadzeniu IKE SA).
Aktualnie zdefiniowane grupy DH dla IKEv2 są wymienione w Typ transformacji 4 – Identyfikatory transformacji grupy Diffiego-Hellmana . W 2017 r. Wydano RFC 8247 z zaleceniami dotyczącymi algorytmów dla IKEv2, w tym grupy Diffiego-Hellmana w sekcji 2.4 . Zgodnie z tym grupami, których należy unikać, są
- grupy MODP poniżej 2048-bitów (grupy 1, 2 i 5), ponieważ zakłada się, że nawet grupa 5 (1536-bitowa) jest możliwa do złamania przez w najbliższej przyszłości napastnicy na poziomie państw członkowskich,
- i te grupy MODP z podgrupami pierwszego rzędu (22, 23 i 24), ponieważ grupa 22 została już pokazana jako słaba (możliwa do złamania przez środowisko akademickie).
Zatem dla MODP co najmniej 2048 bitów i dla ECP powinno być co najmniej 256 bitów. Do ogólnej oceny siły kryptograficznej grup może być przydatny keylength.com .
Jakie są konsekwencje używania lepszych grup PFS?
Mogą pojawić się dwa problemy:
- Im większy group, tym bardziej kosztowne obliczeniowo wyprowadzenie klucza (dotyczy to głównie grup MODP), więc jako operator bramy może to stanowić problem, jeśli jest wielu klientów tworzących SA jednocześnie (może pomóc przyspieszenie sprzętowe).
- Duże grupy MODP mogą potencjalnie powodować fragmentację IP, ponieważ komunikaty IKE_SA_INIT, które transportują publiczne wartości DH, przekraczają MTU (w szczególności w przypadku klientów, którzy również wysyłają wiele ładunków żądań certyfikatów). Jest to problem, jeśli takie fragmenty są odrzucane przez pośrednie ściany ogniowe / routery. Fragmentacja IKEv2 (RFC 7383) nie pomaga tutaj, ponieważ działa wyłącznie na zaszyfrowanych wiadomościach (tj. Zaczynających się od IKE_AUTH).