À propos des Groupes Diffie-Hellman

Les groupes Diffie-Hellman déterminent la force de la clé utilisée dans le processus d'échange de clés. Au sein d'un type de groupe (MODP ou ECP), les numéros de groupe Diffie-Hellman les plus élevés sont généralement les plus sûrs.

Fireware prend en charge ces groupes Diffie-Hellman :

MODP

Groupe Diffie-Hellman 1 (768 bits)
Groupe Diffie-Hellman 2 (1024 bits)
Groupe Diffie-Hellman 5 (1536 bits)
Groupe Diffie-Hellman 14 (2048 bits)
Groupe Diffie-Hellman 15 (3072 bits)

ECP

Groupe Diffie-Hellman 19 (aléatoire 256 bits)
Groupe Diffie-Hellman 20 (aléatoire 384 bits)

Les performances Diffie-Hellman peuvent varier en fonction du modèle de périphérique WatchGuard. Les différents modèles sont optimisés par différents composants d'accélération cryptographique influant sur les performances cryptographiques.

Les deux pairs d'un échange VPN doivent utiliser le même groupe, qui est négocié pendant la phase 1 du processus de négociation IPSec. Lorsque vous définissez un tunnel BOVPN manuel, vous spécifiez le groupe Diffie-Hellman pendant la phase de création d'une connexion IPSec. Cette phase désigne le stade où deux pairs créent un canal sécurisé et authentifié pour communiquer.

Groupes Diffie-Hellman et Perfect Forward Secrecy (PFS)

Outre la Phase 1, vous pouvez également spécifier le groupe Diffie-Hellman à utiliser pendant la Phase 2 d'une connexion IPSec. La configuration de phase 2 comprend les paramètres d'une association de sécurité, qui définit la manière dont les paquets de données sont sécurisés lorsqu'ils sont transmis entre deux endpoints. Vous ne spécifiez le groupe Diffie-Hellman pendant la phase 2 que lorsque vous sélectionnez la confidentialité Perfect Forward Secrecy (PFS).

Avec cette confidentialité, les clés sont plus sûres, car les nouvelles clés ne sont pas créées à partir des précédentes. Si une clé est comprise, les clés de la nouvelle session sont tout de même sécurisées. Lorsque vous spécifiez la confidentialité PFS pendant la phase 2, il y a un échange Diffie-Hellman à chaque nouvelle négociation d'une association de sécurité.

Il n'est pas nécessaire que le groupe choisi pour la phase 2 corresponde au groupe choisi pour la phase 1.

Comment choisir un groupe Diffie-Hellman

Le groupe Diffie-Hellman 14 est le groupe Diffie-Hellman par défaut des Phases 1 et 2 pour les tunnels Branch Office VPN et les interfaces virtuelles BOVPN.

Si la vitesse d'initialisation du tunnel et de renouvellement des clés n'est pas un problème, vous pouvez utiliser un groupe Diffie-Hellman plus élevé. La vitesse réelle d'initialisation et de renouvellement dépend de plusieurs facteurs. Il peut s'avérer utile d'essayer les groupes Diffie-Hellman les plus élevés pour décider si le ralentissement des performances est un problème pour votre réseau. Si le niveau de performance est inacceptable, optez pour un groupe inférieur.

Dans Fireware v11.12.4 et les versions antérieures, le groupe DH par défaut est le Groupe Diffie-Hellman 2.

Voir Également

Configurer les Paramètres IPSec de Phase 1

Ajouter une transformation de Phase 1

Configurer les Paramètres de Phase 2

© 2023 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et/ou dans d'autres pays. Toutes les autres marques appartiennent à leurs propriétaires respectifs.