【发布时间】:2018-12-01 06:15:15
【问题描述】:
这个问题很具体,只涉及 Google Cloud VPN。
谷歌参考https://cloud.google.com/vpn/docs/concepts/supported-ike-ciphers
思科定义(第 24 组)https://supportforums.cisco.com/t5/security-documents/diffie-hellman-groups/ta-p/3147010
【问题讨论】:
这个问题很具体,只涉及 Google Cloud VPN。
谷歌参考https://cloud.google.com/vpn/docs/concepts/supported-ike-ciphers
思科定义(第 24 组)https://supportforums.cisco.com/t5/security-documents/diffie-hellman-groups/ta-p/3147010
【问题讨论】:
是的,它们是一样的。 DH 组编号可以在IKEv2 registry at IANA 中找到,modp_1024s160、modp_2048s224、modp_2048s256 分别代表组 22、23 和 24。
请注意,RFC 8247 不鼓励使用这些群组:
组 22、23 和 24 是 MODP 组,它们的素数子组 不是安全素数。这些群体的种子尚未 公开发布,导致对这些团体的信任度降低。这些 组被提议作为第 2 组和第 14 组的替代方案,但从未 看到了广泛的部署。已经表明,第 22 组具有 1024 位 MODP太弱,学术界有资源来产生 这种大小的恶意值。这导致第 22 组成为 降级为 MUST NOT。第 23 组和第 24 组已降级为 SHOULD 不会并且预计在不久的将来会进一步下调至 不得。
【讨论】:
如果他们的文档提供这样的组号会很有帮助:
很容易将 Group 24 与 Group 19 混淆,后者在更广泛支持的 ECP 系列中:
【讨论】: