Não consigo encontrar muitas informações sobre grupos PFS (Perfect Forward Secrecy), portanto, não tenho certeza do que sugerir para uma configuração IPSec segura.
Alguma sugestão sobre grupos PFS que não são “recomendados?
Qual é a implicação para o uso de grupos PFS melhores?
Comentários
- Em resposta à pergunta do título, o ' s NCSC do Reino Unido diz idealmente " ECP aleatório de 256 bits (RFC5903) Grupo 19 " ou, na sua falta, " Grupo 14 (Grupo MODP de 2048 bits) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
Resposta
O que você chama de “Grupos PFS” são mais precisamente grupos Diffie-Hellman. O protocolo Internet Key Exchange (IKE) usa Diffie-Hellman para derivar a chave material para associações de segurança (SA) IKE e IPsec. Com IKEv2, o k eys para o primeiro IPsec (ou Criança) SA são derivados do material da chave IKE (não há troca DH durante a troca IKE_AUTH que segue a troca IKE_SA_INIT inicial). Uma troca DH separada pode ser usada opcionalmente com as trocas CREATE_CHILD_SA por SAs infantis criadas posteriormente ou suas reinserções. Apenas a recodificação do próprio IKE SA é uma troca DH obrigatória (portanto, mesmo que nenhuma troca DH separada seja usada para cada SA Criança, o material da chave será derivado de novos segredos DH depois que o IKE SA for recodificado).
Os grupos DH atualmente definidos para IKEv2 estão listados em Transform Type 4 – Diffie-Hellman Group Transform IDs . Em 2017, RFC 8247 foi lançado com recomendações sobre algoritmos para IKEv2, incluindo grupos Diffie-Hellman na seção 2.4 . De acordo com ele, os grupos a evitar são
- os grupos MODP abaixo de 2048 bits (grupos 1, 2 e 5), porque mesmo o grupo 5 (1536 bits) é considerado quebrável por atacantes em nível de estado-nação em um futuro próximo,
- e aqueles grupos MODP com subgrupos de ordem principal (22, 23 e 24), pois o grupo 22 já se mostrou fraco (quebrável pela academia).
Portanto, para MODP, pelo menos 2048 bits, e para ECP, pelo menos 256 bits devem ser usados. Para uma avaliação geral da força criptográfica dos grupos, keylength.com pode ser útil.
Qual é a implicação de usar grupos PFS melhores?
Dois problemas podem surgir:
- Quanto maior o grupo, mais caro computacionalmente a derivação de chave (esta é principalmente uma preocupação com grupos MODP), então, como um operador de gateway, isso pode ser um problema se houver muitos clientes criando SAs simultaneamente (a aceleração de hardware pode ajudar).
- Grandes grupos MODP podem potencialmente causar fragmentação de IP porque as mensagens IKE_SA_INIT, que transportam os valores DH públicos, excedem o MTU (em particular para clientes que também enviam muitos payloads de solicitação de certificado). Isso é um problema se esses fragmentos forem descartados por firewalls / roteadores intermediários. A fragmentação de IKEv2 (RFC 7383) não ajuda aqui, pois opera exclusivamente em mensagens criptografadas (ou seja, começando com IKE_AUTH).