IPSec VPN – Diffie-Hellman Groups

Diffie-Hellman (DH) Groups bestimmen die Schlüssel-Stärke während des Key-Exchange Prozesses. Je höher die Group Nummer, desto stärker ist der Schlüssel und desto sicherer ist er. Allerdings je stärker der Schlüssel, desto mehr Rechenzeit und Rechenleistung ist erforderlich.

DH Group 1:    768-bit Key
DH Group 2:   1024-bit Key
DH Group 5:   1536-bit Key
DH Group 14:  2048-bit Key

Beide Endpunkte in einer VPN Konfiguration müssen die gleiche DH Group nutzen, die während dem Main Mode (Phase 1) IPSec Negotiation Prozess ausgetauscht werden.

DH Groups und Perfect Forward Secrecy (PFS)

Zusätzlich zur Phase 1 kann die DH Group ebenfalls in IPSec Phase 2 definiert werden. Phase 2 Konfiguration beinhaltet Einstellungen für die Security Association (SA), also wie Datenpakete gesichert werden, die die beiden VPN Endpunkte durchlaufen. In Phase 2 wird eine DH Group nur verwendet, wenn Perfect Forward Secrecy (PFS) aktiviert wird. PFS verbessert die Sicherheit der Schlüssel, weil neue Schlüssel nicht auf vorhergehenden Schlüsseln basieren, sondern komplett neu ausgehandelt werden. Wenn ein Schlüssel kompromitiert wird, sind neue Schlüssel weiterhin sicher. Wenn in Phase 2 PFS konfiguriert wird, findet ein Diffie-Hellman Austausch jedes Mal statt, wenn eine neue SA ausgehandelt wird.

Die in Phase 2 gewählte Diffie-Hellman Group kann von der in Phase 1 gewählten abweichen.

DH Groups 1, 2 & 5 sind nicht FIPS 140 zertifiziert.
In FIPS 140 zertifizierten Umgebungen darf nur DH Group 14 eingesetzt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.