IPSec VPN – Diffie-Hellman Groups
Diffie-Hellman (DH) Groups bestimmen die Schlüssel-Stärke während des Key-Exchange Prozesses. Je höher die Group Nummer, desto stärker ist der Schlüssel und desto sicherer ist er. Allerdings je stärker der Schlüssel, desto mehr Rechenzeit und Rechenleistung ist erforderlich.
DH Group 1: 768-bit Key
DH Group 2: 1024-bit Key
DH Group 5: 1536-bit Key
DH Group 14: 2048-bit Key
Beide Endpunkte in einer VPN Konfiguration müssen die gleiche DH Group nutzen, die während dem Main Mode (Phase 1) IPSec Negotiation Prozess ausgetauscht werden.
DH Groups und Perfect Forward Secrecy (PFS)
Zusätzlich zur Phase 1 kann die DH Group ebenfalls in IPSec Phase 2 definiert werden. Phase 2 Konfiguration beinhaltet Einstellungen für die Security Association (SA), also wie Datenpakete gesichert werden, die die beiden VPN Endpunkte durchlaufen. In Phase 2 wird eine DH Group nur verwendet, wenn Perfect Forward Secrecy (PFS) aktiviert wird. PFS verbessert die Sicherheit der Schlüssel, weil neue Schlüssel nicht auf vorhergehenden Schlüsseln basieren, sondern komplett neu ausgehandelt werden. Wenn ein Schlüssel kompromitiert wird, sind neue Schlüssel weiterhin sicher. Wenn in Phase 2 PFS konfiguriert wird, findet ein Diffie-Hellman Austausch jedes Mal statt, wenn eine neue SA ausgehandelt wird.
Die in Phase 2 gewählte Diffie-Hellman Group kann von der in Phase 1 gewählten abweichen.
DH Groups 1, 2 & 5 sind nicht FIPS 140 zertifiziert.
In FIPS 140 zertifizierten Umgebungen darf nur DH Group 14 eingesetzt werden.