web-dev-qa-db-ja.com

不正サーバーへのIPSEC接続の試行-PSKは危険にさらされていますか?

Ubiquiti EdgeOSベースの機器を使用して、2つのサイト間にIPSec接続をセットアップしています。 DDNSサービス(静的IPはISPからは利用できません)を使用すると、east.example.netおよびwest.example.net

DDNSの使用には問題があります。西サイトがダウンしているとしましょう。ウェストサイトがDDNSを更新できるようになる前に、ISPは潜在的に不正なサーバーにアドレスを提供します。イーストサイトが接続を復元しようとすると、この不正なサーバーとのネゴシエーションが試行されます。

PSKの使用中にIPSecを実装した場合、この試みの後、私のPSKの機密性は侵害されますか?

4
Mooseman

PSKが強力(128ビットのエントロピーなど)である場合、ブルートフォースまたは辞書攻撃で攻撃することは現実的ではないため、心配する必要はありません。

ただし、脆弱なPSKは、不正なサーバーによって攻撃される可能性があります。

IKEv2( RFC 7296、セクション2.15 )の場合、PSKは、クライアントが提供するIKE_AUTHリクエストとAUTHペイロードの暗号化に使用されるキーマテリアルに混合されません。これは、PRFを介してPSKを組み込んだもので、サーバーが認証される前に送信されます(ユーザー名/パスワードベースのEAP認証では、サーバーが最初に証明書で認証されます)。したがって、不正なサーバーは、そのAUTHペイロードを取得した後、比較的簡単に弱いPSKを攻撃できます。ただし、要求は暗号化されているため、パッシブリスナーは攻撃できません。

メインモードのIKEv1( RFC 2409、セクション5.4 )では、クライアントによる3番目の要求の暗号化に使用されるキーマテリアルにPSKがさらに混合されます。ただし、悪意のあるサーバーは、復号化されたデータをIKEメッセージとして解析でき、HASH_Iペイロードを同じPSKで検証できるようになるまで、別のPSKを使用して3番目の要求を復号化しようとすることで、弱いPSKを攻撃できます(同様のものが時々同じクライアントIPに対して複数のPSKを使用できる正当なサーバーによって実行されます)。 IKEv2と同様に、パッシブリスナーは暗号化のためにPSKを攻撃できません。

さて、アグレッシブモードのIKEv1の場合、サーバーはHASH_Rを提供する必要があります。これはPSKを認識していることを証明するために、まずPSKを組み込んでいるため、シナリオでは、不正サーバーがクライアントを続行しないため、安全です。不正なハッシュで応答します。ただし、ハッシュは暗号化されずに交換されるため、パッシブリスナーから攻撃される可能性があるため、一般的には安全ではありません。

3
ecdsa

サーバーが不正なサーバーに接続しようとした場合でも、PSKは安全です。

PSKは実際には相手に送信されず、暗号素材を生成するための入力として使用されます。悪意のあるサーバーが既にPSKを持っている場合を除き、サーバーからのメッセージを解読することはできません。

さらに読むために:

https://crypto.stackexchange.com/questions/9926/what-is-the-shared-secret-used-for-in-ipsec-vpn

RFC2409(IKEv1)

RFC4306(IKEv2)

3
ztk