web-dev-qa-db-ja.com

IKEフェーズ2中のPFSインセンティブ

フェーズ1ですでに使用されていた場合、インターネットキー交換フェーズ2で完全転送秘密を実装する実際のポイントを確認しようとしています。

IKEv2 RFCの引用:

RFC 5596
3.3.2。部分構造の変換

[...] ESPおよびAHにはDiffie-Hellman交換が直接含まれていませんが、Diffie-Hellmanグループが子SAのために交渉される場合があります。これにより、ピアがDiffie-Hellmanを使用できるようになりますCREATE_CHILD_SA交換では、生成された子SAキーに完全転送秘密を提供します。

この前方秘密機能を実装する実際のセキュリティインセンティブはありますか?
それがカバーしようとするリスクは何ですか?

私の理解では、PFSがない場合here、Child SA(Security Association))キーは、フェーズ1でネゴシエートされたキーから直接派生します。

攻撃者がフェーズ1の間にネゴシエートした動的に生成されたキーを(メモリ内で、または関連する暗号を破った後に)取得した場合、フェーズ2で生成された新しいキーを取得できなかった理由がわかりません。

2
Aym_C

[〜#〜] pfs [〜#〜] の考え方は、重大な盗難のリスクを考慮する場合、すべてのキーが同じというわけではないということです。ファイルに保存されている秘密鍵は、後で盗まれる可能性があります。ディスクに障害が発生し、不注意に廃棄された場合。一方、RAM=にあるキーは、マシンがシャットダウンまたは再起動されたときにのみ消えるため、敵対的なエンティティによって回復される可能性はほとんどありません。PFSセキュリティモデルでは、 notは動的に生成されますが、物理メディアに任意の時間保存されるキーに主に注意してください。

Diffie-Hellmanを使用する場合、PFSを許可するのはDHの使用ではありません。 PFSを許可するものは非保存 DH秘密鍵です。 DHまたは楕円曲線バリアントは、PFSを求めるプロトコルで頻繁に使用されます。これは、PFSが新しいキーペアを即座に生成することを意味し、DHまたはECDHキーペアの生成は非常に効率的に実行できるためです(たとえば、 RSA)。

1
Thomas Pornin