Sto cercando aiuto per determinare i gruppi Diffie Hellman (DH) accettabili per specifici algoritmi di crittografia IPSec IKE ed ESP. L'obiettivo è di scegliere gruppi DH che forniscano una protezione adeguata per le chiavi da utilizzare dagli Algoritmi di crittografia selezionati, evitando al contempo inutili sovraccarichi dai gruppi DH che sono mal coordinati (gruppi DH più lenti senza ulteriori vantaggi in termini di sicurezza?).
Gli algoritmi di crittografia specifici tra cui posso scegliere includono AES-CBC e AES-GCM con varie chiavi di lunghezza (128, 256, ecc.).
I Gruppi Diffie Hellman Posso selezionare da includere
- 14 = gruppo MODP 2048-bit
- 19 = gruppo ECP casuale a 256 bit
- 20 = gruppo ECP casuale a 384 bit
- 21 = gruppo ECP casuale a 521 bit
- 24 = Gruppo MODP 2048-bit con sottogruppo Prime Order 256 bit
Alcune delle informazioni che sto leggendo dai documenti del fornitore di sicurezza di rete suggeriscono l'uso di gruppi DH Elliptic Curve (EC) come 19, 20 e 21 sugli altri gruppi .
- Cisco "Se possibile, utilizza. .. i ... gruppi ECDH "
-
Punto di controllo
- "i gruppi Diffie-Hellman della curva ellittica ... offrono prestazioni migliori" I gruppi
- "descritti in RFC 5114 (Gruppo 24 ...) NON SONO RACCOMANDATI per l'uso"
- IBM "Linea guida: se si utilizzano algoritmi di crittografia o autenticazione con una chiave a 128 bit, utilizzare i gruppi Diffie-Hellman 5,14,19,20 o 24. Se si utilizzano algoritmi di crittografia o autenticazione con una lunghezza chiave di 256 bit o superiore, utilizzare Diffie -Hellman gruppo 21. "
Sono particolarmente confuso su quando utilizzare i Gruppi 14 e 24 . 24 è più strong del 21? Sto pensando che 21 sia più strong anche se il gruppo DH numero 24 è più alto (solo un numero identificativo di gruppo). Penso anche che il gruppo 19 sia più strong di 14 - non a causa del numero più alto, ma a causa dell'algoritmo CE più strong? Basandomi su alcune delle mie letture, sembra che i gruppi ordinati per forza dal basso verso l'alto sarebbero qualcosa come 14, 24, 19, 20, 21 - nel senso che se disponibili, i gruppi ECP 19,20,21 dovrebbero essere preferito su entrambi 14 e 24?
Queste discussioni crittografiche possono facilmente portare alla matematica avanzata e spero di evitarlo il più possibile, per favore usa le spiegazioni più elementari o la più semplice matematica possibile.