Назад | Перейти на главную страницу

Является ли отключение Perfect Forward Secrecy угрозой безопасности?

Мне пришлось отключить PFS в правилах IPsec на одном из наших ASA, чтобы позволить клиентам Android Gingerbread подключаться. Подрывает ли это безопасность VPN? Связь - AES-256 или AES-128 с групповым паролем. Судя по моему исследованию, некоторые считают PFS сомнительным, и, честно говоря, я никогда не замечал этого раньше, поэтому я просто не знаю, что здесь делать.

ETA: поскольку это очевидно актуально, рассматриваемый ASA используется только для удаленного доступа, без подключения к локальной сети.

Это немного зависит от того, как вы настроили VPN. Если вы используете предварительные общие ключи, PFS все равно мало что делает. Если вы используете сертификаты, захват инициализации сеанса и секретный ключ устройства скомпрометирован (скажем, телефон украден, что делает оба этих события тривиальными), то значительно проще вычислить ключ на ASA (что упрощает задачу для кого-то кто может захватить любой сеанс VPN, чтобы расшифровать сеанс).

В любом случае для взлома ключей и возможности прослушивания VPN-соединений потребуется значительное время вычислений.