¿Qué grupo de PFS se recomienda para la configuración de IPSec?

0

No puedo encontrar mucha información sobre los grupos PFS (Perfect Forward Secrecy), por lo que no estoy seguro de qué sugerir para una configuración segura de IPSec.

¿Alguna sugerencia sobre grupos de PFS que no se recomiendan?

¿Cuál es la implicación de usar mejores grupos de PFS?

    
pregunta ellefc 01.11.2018 - 12:50
fuente

1 respuesta

0

Lo que usted denomina "Grupos de PFS" son más precisamente grupos de Diffie-Hellman. El protocolo de Intercambio de claves de Internet (IKE) utiliza Diffie-Hellman para obtener material clave para las asociaciones de seguridad IKE e IPsec. Con IKEv2, las claves para el primer IPsec (o secundario) SA se derivan del material de la clave IKE (no hay intercambio DH durante el intercambio IKE_AUTH que sigue al intercambio inicial IKE_SA_INIT). Opcionalmente, se puede usar un intercambio DH separado con los intercambios CREATE_CHILD_SA para las SA de niños creadas más adelante o sus cambios de clave. Solo para cambiar la clave de IKE SA es un intercambio DH obligatorio (por lo tanto, incluso si no se usa un intercambio DH por cada Child SA, su material clave se derivará de los nuevos secretos DH una vez que IKE SA haya cambiado la clave).

Los grupos DH definidos actualmente para IKEv2 se enumeran en Transformación de tipo 4 - ID de transformación del grupo Diffie-Hellman . En 2017, se lanzó RFC 8247 con recomendaciones sobre los algoritmos para IKEv2, incluidas las herramientas Diffie-Hellman groups en la sección 2.4 . Según el mismo, los grupos a evitar son

  • los grupos MODP por debajo de 2048 bits (grupos 1, 2 y 5), porque se supone que incluso los grupos 5 (1536 bits) pueden romperse por los atacantes a nivel nacional en un futuro cercano,
  • y aquellos grupos MODP con subgrupos de primer orden (22, 23 y 24), ya que el grupo 22 ya se mostró débil (rompible por la academia).

Por lo tanto, para MODP se deben usar al menos 2048 bits y para ECP al menos 256 bits. Para una evaluación general de la fuerza criptográfica de los grupos keylength.com puede ser útil.

  

¿Cuál es la implicación de usar mejores grupos de PFS?

Pueden surgir dos problemas:

  1. Cuanto mayor sea el grupo, más costosa computacionalmente será la derivación de la clave (esto es principalmente una preocupación de los grupos MODP), por lo que como operador de pasarela, esto podría ser un problema si hay muchos clientes que crean SA simultáneamente (la aceleración de hardware puede ayudar ).
  2. Los grupos MODP grandes pueden potencialmente causar la fragmentación de IP porque los mensajes IKE_SA_INIT, que transportan los valores DH públicos, exceden la MTU (en particular para los clientes que también envían muchas cargas útiles de solicitud de certificados). Esto es un problema si tales fragmentos son eliminados por los cortafuegos / enrutadores intermedios. La fragmentación de IKEv2 (RFC 7383) no ayuda aquí, ya que opera exclusivamente en mensajes cifrados (es decir, a partir de IKE_AUTH).
respondido por el ecdsa 05.11.2018 - 11:52
fuente

Lea otras preguntas en las etiquetas