Diffie Hellman Group Matching to IPSyp Encryption Algorithm

7

Estoy buscando ayuda para determinar los grupos Diffie Hellman (DH) aceptables para los algoritmos específicos de encriptación IKE y ESP de IPSec. El objetivo es elegir grupos de DH que brinden una protección adecuada para las claves que se utilizarán en los algoritmos de cifrado seleccionados, evitando al mismo tiempo la sobrecarga innecesaria de los grupos de DH que no son compatibles (¿grupos de DH más lentos sin beneficios de seguridad adicionales?).

Los Algoritmos de cifrado específicos que puedo elegir incluyen AES-CBC y AES-GCM con varias longitudes de clave (128, 256, etc.).

Los Diffie Hellman Groups que puedo seleccionar de incluir

  • 14 = grupo MODP de 2048 bits
  • 19 = grupo de ECP aleatorio de 256 bits
  • 20 = grupo de ECP aleatorio de 384 bits
  • 21 = grupo de ECP aleatorio de 521 bits
  • 24 = grupo MODP de 2048 bits con subgrupo de primer orden de 256 bits

Parte de la información que estoy leyendo de Documentos de proveedores de seguridad de la red sugiere el uso de grupos de curva elíptica (EC) de DH, como 19, 20 y 21 sobre los otros grupos .

  • Cisco "Cuando sea posible, utilice. .. Los ... grupos de ECDH "
  • Check Point
    • "los grupos Diffie-Hellman de curva elíptica ... proporcionan un mejor rendimiento"
    • "Los grupos descritos en RFC 5114 (Grupo 24 ...) NO SE RECOMIENDAN para su uso"
  • IBM "Pauta: Si está usando algoritmos de encriptación o autenticación con una clave de 128 bits, use los grupos Diffie-Hellman 5,14,19,20, o 24. Si está usando algoritmos de encriptación o autenticación con una longitud de clave de 256 bits o más, use Diffie -Hellman grupo 21. "

Estoy particularmente confundido acerca de cuándo usar los Grupos 14 y 24 . ¿Es 24 más fuerte que 21? Pienso que 21 es más fuerte aunque el número de grupo 24 de DH es más alto (solo un número de identificación de grupo). También estoy pensando que el grupo 19 es más fuerte que 14, no por el número más alto, sino por el algoritmo EC más fuerte. Según algunas de mis lecturas, parece que los grupos ordenados por fuerza de baja a alta serían algo así como 14, 24, 19, 20, 21 - lo que significa que si están disponibles, los grupos de ECP 19,20,21 deberían ¿Se prefiere tanto el 14 como el 24?

Estas conversaciones criptográficas pueden conducir fácilmente a las matemáticas avanzadas y espero evitar eso tanto como sea posible; utilice las explicaciones más básicas o las matemáticas más simples posibles.

    
pregunta Mister_Tom 16.10.2017 - 20:29
fuente

1 respuesta

6

Actualización del 21 de octubre de 2017. Encontré información útil en RFC 5114 en la Sección 4 "Consideraciones de seguridad ". Basándonos en esta recomendación, podemos considerar que los Grupos 14 y 24 de DH son demasiado débiles para proteger las Claves Simétricas AES 128: esto deja a los Grupos 19 a 21 EC de DH como los grupos Diffie Hellman aceptables mínimos para generar las claves simétricas AES (128 bits y superior).

  

Cuando se usan claves secretas de un tamaño apropiado, una aproximación de      la fuerza de cada uno de los grupos Diffie-Hellman se proporciona en el      tabla de abajo . Para cada grupo, la tabla contiene un tamaño de clave RSA y      tamaño de clave simétrica que proporciona niveles aproximadamente equivalentes de      seguridad. Estos datos se basan en las recomendaciones de [NIST80057].

GROUP                                      |  SYMMETRIC |   RSA
-------------------------------------------+------------+-------
1024-bit MODP with 160-bit Prime Subgroup  |        80  |   1024
2048-bit MODP with 224-bit Prime Subgroup  |       112  |   2048
2048-bit MODP with 256-bit Prime Subgroup  |       112  |   2048
192-bit Random ECP Group                   |        80  |   1024
224-bit Random ECP Group                   |       112  |   2048
256-bit Random ECP Group                   |       128  |   3072
384-bit Random ECP Group                   |       192  |   7680
521-bit Random ECP Group                   |       256  |  15360

Números de grupo asignados a nombres de algoritmo DH de RFC 5114 Sección "IKE" .

NAME                                                    | NUMBER
--------------------------------------------------------+---------
1024-bit MODP Group with 160-bit Prime Order Subgroup   |   22
2048-bit MODP Group with 224-bit Prime Order Subgroup   |   23
2048-bit MODP Group with 256-bit Prime Order Subgroup   |   24
192-bit Random ECP Group                                |   25
224-bit Random ECP Group                                |   26
256-bit Random ECP Group                                |   19
384-bit Random ECP Group                                |   20
521-bit Random ECP Group                                |   21

Pude encontrar algunas sugerencias de emparejamiento en documento de Recomendaciones de Seguridad strongSwan en el encabezado "Selección de cifrado".

  • "aes128-sha256-modp3072 ( AES-CBC-128 , SHA-256 como HMAC e intercambio de claves DH con una longitud de clave de 3072 bits)" DH-Group-15 (no disponible en mi dispositivo)
  • "aes128gcm16-prfsha256-ecp256 ( AES-GCM-128 AEAD, SHA-256 como PRF e intercambio de claves ECDH con longitud de clave de 256 bits)" DH-Group-19
  • "aes256gcm16-prfsha384-ecp384 ( AES-GCM-256 AEAD, SHA-384 como PRF e intercambio de claves ECDH con una longitud de clave de 384 bits)" DH-Group-20

Parece que las recomendaciones de emparejamiento pueden basarse libremente en el análisis de la fuerza del algoritmo que figura en el BlueKrypt belga keylength.com sitio.

Esto es lo más cerca que podría estar de una recomendación de emparejamiento de algoritmo diffie-hellman. Publique si encuentra otras fuentes acreditadas para seleccionar grupos diffie-hellman que coincidan para usar con el cifrado IPSec.

    
respondido por el Mister_Tom 17.10.2017 - 16:41
fuente

Lea otras preguntas en las etiquetas