No puedo encontrar mucha información sobre los grupos PFS (Perfect Forward Secrecy), así que no estoy seguro de qué sugerir para una configuración IPSec segura.
¿Alguna sugerencia sobre los grupos de PFS que no se recomiendan?
¿Cuál es la implicación de utilizar mejores grupos de PFS?
Comentarios
- En respuesta a la pregunta del título, el ' s NCSC del Reino Unido dice idealmente " ECP aleatorio de 256 bits (RFC5903) Grupo 19 " o, en su defecto, " Grupo 14 (Grupo MODP de 2048 bits) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
Respuesta
Lo que usted denomina «Grupos PFS» son más precisamente grupos Diffie-Hellman. El protocolo de Intercambio de claves de Internet (IKE) usa Diffie-Hellman para derivar claves material para las asociaciones de seguridad (SA) IKE e IPsec. Con IKEv2, k Las claves para la primera SA IPsec (o secundaria) se derivan del material de la clave IKE (no hay intercambio DH durante el intercambio IKE_AUTH que sigue al intercambio IKE_SA_INIT inicial). Opcionalmente, se puede utilizar un intercambio DH separado con los intercambios CREATE_CHILD_SA para las SA secundarias creadas posteriormente o sus cambios de clave. Solo cambiar la clave de IKE SA es obligatorio un intercambio de DH (por lo tanto, incluso si no se utiliza un intercambio de DH separado para cada SA de niño, su material de clave se derivará de nuevos secretos de DH una vez que IKE SA haya sido redefinida).
Los grupos DH actualmente definidos para IKEv2 se enumeran en Tipo de transformación 4 – ID de transformación de grupo Diffie-Hellman . En 2017, se publicó RFC 8247 con recomendaciones sobre algoritmos para IKEv2, incluidos grupos Diffie-Hellman en la sección 2.4 . Según este, los grupos a evitar son
- los grupos MODP por debajo de 2048 bits (grupos 1, 2 y 5), porque se supone que incluso el grupo 5 (1536 bits) es rompible por atacantes a nivel de estado-nación en un futuro cercano,
- y aquellos grupos MODP con subgrupos de primer orden (22, 23 y 24), ya que el grupo 22 ya demostró ser débil (rompible por la academia).
Por tanto, para MODP se deben utilizar al menos 2048 bits y para ECP al menos 256 bits. Para una evaluación general de la fuerza criptográfica de los grupos, keylength.com puede resultar útil.
¿Cuál es la implicación de utilizar mejores grupos de PFS?
Pueden surgir dos problemas:
- Cuanto mayor sea el grupo, más costosa desde el punto de vista computacional es la derivación de claves (esto es principalmente una preocupación con los grupos MODP), por lo que como operador de puerta de enlace esto podría ser un problema si hay muchos clientes que crean SA al mismo tiempo (la aceleración de hardware puede ayudar).
- Los grupos MODP grandes pueden potencialmente causar fragmentación de IP porque los mensajes IKE_SA_INIT, que transportan los valores DH públicos, exceden la MTU (en particular para los clientes que también envían una gran cantidad de cargas útiles de solicitud de certificado). Este es un problema si dichos fragmentos son eliminados por firewalls / enrutadores intermedios. La fragmentación de IKEv2 (RFC 7383) no ayuda aquí ya que opera exclusivamente en mensajes encriptados (es decir, comenzando con IKE_AUTH).