Creo que la idea detrás de RFC 7919 fue más sobre la interoperabilidad.
Mientras que un servidor del grupo DH personalizado es potencialmente más seguro y no se verá afectado si, por ejemplo, La NSA logra descifrar uno de los grupos más comúnmente utilizados, pone esfuerzo de comprobación de cordura EN EL CLIENTE. Y estos clientes pueden tener ideas muy diferentes sobre lo que constituye un grupo sano y seguro. Podrían tener diferentes ideas sobre la longitud de bits aceptable, por ejemplo. Y no había canal de vuelta. El cliente no tenía forma de decirle al servidor por adelantado "Aceptaré tales y a tales grupos ..." y después no le diré al servidor "Lo siento, no trabajaré con ese grupo! " El cliente simplemente fallaría y el servidor nunca lo supo. Pesadilla de interoperabilidad.
Ahora, lo que RFC7919 intenta hacer es usar la misma lógica que ya existe para la curva elíptica DH y usarla para regular ("MODP", "campo finito") DH.
De esa manera, el cliente al menos puede decir por adelantado "Aceptaré tales y tales grupos ..." y el puñado de grupos que forman parte de IANA group register puede ser revisado / examinado por el público.
El RFCs Abstract enumera las razones:
Resumen
Intercambio de clave Diffie-Hellman (DH) tradicional basado en campo finito
durante el protocolo de seguridad de la capa de transporte (TLS), el protocolo de enlace sufre
Número de deficiencias de seguridad, interoperabilidad y eficiencia.
Estas deficiencias surgen de la falta de claridad sobre qué grupo DH
Los parámetros que deben ofrecer los servidores TLS y los clientes deben aceptar. Esta
El documento ofrece una solución a estas deficiencias para los compañeros compatibles.
mediante el uso de una sección del "Registro de grupos admitidos" de TLS (renombrado
del "Registro de Curva Nombrado CE" por este documento) para establecer
Parámetros de campo finito DH con estructura conocida y un mecanismo para
compañeros para negociar el apoyo a estos grupos.
Este documento actualiza las versiones TLS 1.0 (RFC 2246), 1.1 (RFC 4346),
y 1.2 (RFC 5246), así como la criptografía de curva elíptica TLS
(ECC) extensiones (RFC 4492).
Actualización 2017-02-03: Papel
Acabo de encontrar este documento:
En el resumen, dicen que los clientes normalmente no verifican los parámetros en tiempo de ejecución debido a los impactos en el rendimiento.
Por lo tanto, aquí tiene sentido definir, comprobar la cordura y nombrar algunos grupos DH de campo finito. (Al menos tiene más sentido que no verificar nada).