Jag kan inte hitta mycket information om PFS (Perfect Forward Secrecy) -grupper så jag är osäker på vad jag ska föreslå för en säker IPSec-konfiguration.
Några förslag på PFS-grupper som inte rekommenderas?
Vad betyder det för att använda bättre PFS-grupper?
Kommentarer
- Som svar på titelfrågan säger Storbritannien ' s NCSC helst " 256bit random ECP (RFC5903) Group 19 " eller, om inte, " Grupp 14 (2048-bitars MODP-grupp) (RFC3526) " ( ncsc.gov.uk/guidance/using-ipsec-protect-data ).
Svar
Vad du kallar ”PFS-grupper” är mer exakt Diffie-Hellman-grupper. Internet Key Exchange (IKE) -protokollet använder Diffie-Hellman för att härleda nyckel material för både IKE och IPsec säkerhetsföreningar (SA). Med IKEv2, k eys för den första IPsec (eller Child) SA härleds från IKE-nyckelmaterialet (det finns inget DH-utbyte under IKE_AUTH-utbytet som följer den första IKE_SA_INIT-utbytet). Ett separat DH-utbyte kan valfritt användas med CREATE_CHILD_SA-utbyten för Child SAs som skapats senare eller deras omnycklingar. Endast för att återanvända IKE SA i sig är ett DH-utbyte obligatoriskt (så även om inget separat DH-utbyte används för varje Child SA kommer deras nyckelmaterial att härledas från nya DH-hemligheter när IKE SA har omnycklats).
De för närvarande definierade DH-grupperna för IKEv2 listas i Transform Type 4 – Diffie-Hellman Group Transform IDs . 2017 släpptes RFC 8247 med rekommendationer angående algoritmer för IKEv2, inklusive Diffie-Hellman-grupper i avsnitt 2.4 . Enligt det är de grupper som ska undvikas
- MODP-grupperna under 2048-bitar (grupp 1, 2 och 5), eftersom även grupp 5 (1536-bitar) antas vara brytbar av angripare på nationell statsnivå inom en snar framtid,
- och de MODP-grupper med underordnade gruppgrupper (22, 23 och 24), eftersom grupp 22 redan visade sig vara svag (brytbar av akademin). / li>
Så för MODP bör minst 2048 bitar och för ECP användas minst 256 bitar. För en allmän bedömning av gruppernas kryptografiska styrka kan keylength.com vara användbart.
Vad är innebörden för att använda bättre PFS-grupper?
Två problem kan uppstå:
- Ju större är grupp, desto dyrare är nyckelavledningen (det här beror mest på MODP-grupper), så som gatewayoperatör kan detta vara ett problem om det finns många kunder som skapar SA samtidigt (hårdvaruacceleration kan hjälpa).
- Stora MODP-grupper kan potentiellt orsaka IP-fragmentering eftersom IKE_SA_INIT-meddelandena, som transporterar de offentliga DH-värdena, överskrider MTU (särskilt för klienter som också skickar många nyttolast för certifikatförfrågan). Detta är ett problem om sådana fragment släpps av mellanliggande brandväggar / routrar. IKEv2-fragmentering (RFC 7383) hjälper inte här eftersom den exklusivt fungerar på krypterade meddelanden (dvs. börjar med IKE_AUTH).