不正サーバーへのIPSEC接続の試行-PSKは危険にさらされていますか？

PSKが強力（128ビットのエントロピーなど）である場合、ブルートフォースまたは辞書攻撃で攻撃することは現実的ではないため、心配する必要はありません。

ただし、脆弱なPSKは、不正なサーバーによって攻撃される可能性があります。

IKEv2（ RFC 7296、セクション2.15 ）の場合、PSKは、クライアントが提供するIKE_AUTHリクエストとAUTHペイロードの暗号化に使用されるキーマテリアルに混合されません。これは、PRFを介してPSKを組み込んだもので、サーバーが認証される前に送信されます（ユーザー名/パスワードベースのEAP認証では、サーバーが最初に証明書で認証されます）。したがって、不正なサーバーは、そのAUTHペイロードを取得した後、比較的簡単に弱いPSKを攻撃できます。ただし、要求は暗号化されているため、パッシブリスナーは攻撃できません。

メインモードのIKEv1（ RFC 2409、セクション5.4 ）では、クライアントによる3番目の要求の暗号化に使用されるキーマテリアルにPSKがさらに混合されます。ただし、悪意のあるサーバーは、復号化されたデータをIKEメッセージとして解析でき、HASH_Iペイロードを同じPSKで検証できるようになるまで、別のPSKを使用して3番目の要求を復号化しようとすることで、弱いPSKを攻撃できます（同様のものが時々同じクライアントIPに対して複数のPSKを使用できる正当なサーバーによって実行されます）。 IKEv2と同様に、パッシブリスナーは暗号化のためにPSKを攻撃できません。

さて、アグレッシブモードのIKEv1の場合、サーバーはHASH_Rを提供する必要があります。これはPSKを認識していることを証明するために、まずPSKを組み込んでいるため、シナリオでは、不正サーバーがクライアントを続行しないため、安全です。不正なハッシュで応答します。ただし、ハッシュは暗号化されずに交換されるため、パッシブリスナーから攻撃される可能性があるため、一般的には安全ではありません。