web-dev-qa-db-fra.com

Groupe Diffie Hellman correspondant à l'algorithme de chiffrement IPSec

Je cherche de l'aide pour déterminer les groupes Diffie Hellman (DH) acceptables pour des algorithmes IPSec IKE et ESP Encryption. Le but est de choisir des groupes DH qui fournissent une protection adéquate pour les clés à utiliser par des algorithmes de chiffrement sélectionnés tout en évitant la surcharge inutile des groupes DH qui sont mal appariés (groupes DH plus lents sans avantages de sécurité supplémentaires?).

Les algorithmes de chiffrement spécifiques que je peux choisir incluent AES-CBC et AES-GCM avec différentes longueurs de clé (128, 256, etc.).

Les Diffie Hellman Groups je peux choisir d'inclure

  • 14 = groupe MODP à 2048 bits
  • 19 = groupe ECP aléatoire 256 bits
  • 20 = groupe ECP aléatoire de 384 bits
  • 21 = groupe ECP aléatoire 521 bits
  • 24 = Groupe MODP à 2048 bits avec sous-groupe d'ordre primaire à 256 bits

Certaines des informations que je lis Les documents du fournisseur de sécurité réseau suggèrent l'utilisation de groupes DH Elliptic Curve (EC) comme 19, 20 et 21 sur les autres groupes .

  • Cisco "Si possible, utilisez ... les ... groupes ECDH"
  • Check Point
    • "Les groupes Diffie-Hellman à courbe elliptique ... offrent de meilleures performances"
    • "les groupes décrits dans la RFC 5114 (groupe 24 ...) NE SONT PAS RECOMMANDÉS pour l'utilisation"
  • IBM "Directive: si vous utilisez des algorithmes de chiffrement ou d'authentification avec une clé de 128 bits, utilisez les groupes Diffie-Hellman 5,14,19 , 20 ou 24. Si vous utilisez des algorithmes de chiffrement ou d'authentification avec une longueur de clé de 256 bits ou plus, utilisez le groupe Diffie-Hellman 21. "

Je suis particulièrement confus quant à savoir quand utiliser les groupes 14 et 24 . Est-ce que 24 est plus fort que 21? Je pense que 21 est plus fort même si le numéro de groupe DH 24 est plus élevé (juste un numéro d'identification de groupe). Je pense également que le groupe 19 est plus fort que 14 - non pas à cause du nombre plus élevé, mais à cause de l'algorithme EC plus fort? Sur la base de certaines de mes lectures, il semble que les groupes classés par force de faible à élevé seraient quelque chose comme 14, 24, 19, 20, 21 - ce qui signifie que s'ils sont disponibles, les groupes ECP 19,20,21 devrait être préféré à la fois à 14 et à 24?

Ces discussions cryptographiques peuvent facilement conduire à des mathématiques avancées et j'espère éviter cela autant que possible - veuillez utiliser les explications les plus élémentaires ou les mathématiques les plus simples possibles.

diffie-hellmanipsec
7
Mister_Tom

Mise à jour 21 octobre 2017. J'ai trouvé des informations utiles dans RFC 5114 sous la section 4 "Considérations de sécurité". Sur la base de cette recommandation, nous pouvons considérer les groupes DH 14 et 24 comme trop faibles pour protéger les clés symétriques AES 128 - cela laisse les groupes DH 19 à 21 ECP comme les groupes Diffie Hellman minimum acceptables pour générer AES clés symétriques (128 bits et plus).

Lorsque des clés secrètes de taille appropriée sont utilisées, une approximation de la force de chacun des groupes Diffie-Hellman est fournie dans le tableau ci-dessous . Pour chaque groupe, le tableau contient une taille de clé RSA et une taille de clé symétrique qui fournissent des niveaux de sécurité à peu près équivalents. Ces données sont basées sur les recommandations de [NIST80057].

GROUP                                      |  SYMMETRIC |   RSA
-------------------------------------------+------------+-------
1024-bit MODP with 160-bit Prime Subgroup  |        80  |   1024
2048-bit MODP with 224-bit Prime Subgroup  |       112  |   2048
2048-bit MODP with 256-bit Prime Subgroup  |       112  |   2048
192-bit Random ECP Group                   |        80  |   1024
224-bit Random ECP Group                   |       112  |   2048
256-bit Random ECP Group                   |       128  |   3072
384-bit Random ECP Group                   |       192  |   7680
521-bit Random ECP Group                   |       256  |  15360

Numéros de groupe mappés aux noms d'algorithme DH de RFC 5114 "IKE" Section .

NAME                                                    | NUMBER
--------------------------------------------------------+---------
1024-bit MODP Group with 160-bit Prime Order Subgroup   |   22
2048-bit MODP Group with 224-bit Prime Order Subgroup   |   23
2048-bit MODP Group with 256-bit Prime Order Subgroup   |   24
192-bit Random ECP Group                                |   25
224-bit Random ECP Group                                |   26
256-bit Random ECP Group                                |   19
384-bit Random ECP Group                                |   20
521-bit Random ECP Group                                |   21

J'ai pu trouver des suggestions d'appariement dans le document StrongSwan Security Recommendations sous la rubrique "Cipher Selection".

  • "aes128-sha256-modp3072 ( AES-CBC-128 , SHA-256 en tant que HMAC et échange de clés DH avec une longueur de clé de 3072 bits) " DH-Group-15 (non disponible sur mon appareil)
  • "aes128gcm16-prfsha256-ecp256 ( AES-GCM-128 AEAD, SHA-256 comme PRF et échange de clés ECDH avec une longueur de clé de 256 bits) " DH-Group-19
  • "aes256gcm16-prfsha384-ecp384 ( AES-GCM-256 AEAD, SHA-384 comme PRF et échange de clés ECDH avec une longueur de clé de 384 bits) " DH-Group-20

Il semble que les recommandations d'appariement puissent être vaguement basées sur l'analyse de la force de l'algorithme répertoriée sur le site BlueKrypt belge keylength.com .

C'est le plus proche que j'ai pu obtenir d'une recommandation d'appariement d'algorithme diffie-hellman. Veuillez poster si vous trouvez d'autres sources fiables pour sélectionner des groupes diffie-hellman bien adaptés à utiliser avec le cryptage IPSec.

6
Mister_Tom

N'utilisez pas DH 22,23 et 24. Voir https://tools.ietf.org/html/rfc8247#section-2.4

Les groupes 22, 23 et 24 sont des groupes MODP avec des sous-groupes d'ordre premier qui ne sont pas des nombres premiers sûrs. Les graines de ces groupes n'ont pas été rendues publiques, ce qui a réduit la confiance dans ces groupes. Ces groupes ont été proposés comme alternatives pour les groupes 2 et 14 mais n'ont jamais vu un large déploiement. Il a été démontré que le groupe 22 avec MODP 1024 bits est trop faible et les universités ont les ressources pour générer des valeurs malveillantes à cette taille. En conséquence, le groupe 22 a été rétrogradé en NE DOIT PAS. Les groupes 23 et 24 ont été rétrogradés à NE DEVRAIENT PAS et devraient être rétrogradés dans un proche avenir à NE DOIT PAS. Étant donné que les groupes 23 et 24 ont de petits sous-groupes, les vérifications spécifiées dans la première puce de la section 2.2 de "Tests Diffie-Hellman supplémentaires pour le protocole d'échange de clés Internet version 2 (IKEv2)" [RFC6989] DOIVENT être effectuées lorsque ces groupes sont utilisés .

1
Paul Wouters