Diffie-Hellman グループについて
Fireware は以下の Diffie-Hellman グループをサポートしています:
MODP
- Diffie-Hellman グループ 1 (768 ビット)
- Diffie-Hellman グループ 2 (1024 ビット)
- Diffie-Hellman グループ (1536 ビット)
- Diffie-Hellman グループ 14 (2048 ビット)
- Diffie-Hellman グループ 15 (3072 ビット)
ECP
- Diffie-Hellman グループ 19 (256 ビット ランダム)
- Diffie-Hellman グループ 20 (384 ビット ランダム)
Diffie-Hellman のパフォーマンスは、WatchGuard のハードウェア モデルによって異なります。これは、暗号化パフォーマンスに影響を与える、最適化に使用されている暗号化アクセラレーション コンポーネントがモデルごとに異なるためです。
VPN exchange での両方のピアは、IPSec ネゴシエーション処理のフェーズ 1 中にネゴシエートされる同じ DH グループを使用する必要があります。Manual BOVPN トンネルを定義する際は、Diffie-Hellman グループを IPSec 接続のフェーズ作成の一部として指定します。IPSec 接続確立のフェーズ 1 では、2 つのピアによって、セキュリティで保護され認証されたチャネルが構成され、通信に使用できるようになります。
DH グループと Perfect Forward Secrecy (PFS)
フェーズ 1 に加えて、IPSec 接続のフェーズ 2 の Diffie-Hellman グループも指定することができます。フェーズ2の構成には、セキュリティ アソシエーション (SA) の設定やデータ パケットが2つの endpoint 間で送信される場合に、どのようにセキュリティが保護されるかを定義する設定が含まれています。Perfect Forward Secrecy (PFS) を選択する場合にのみ、フェーズ 2 の Diffie-Hellman グループを指定します。
新しいキーは以前のキーから作成されないので、PFS は安全性の高いキーを作成します。キーのセキュリティが侵害された場合でも、新しいセッション キーのセキュリティは保護されます。フェーズ 2 中に PFS を指定すると、新しいSAがネゴシエートされるたびに Diffie-Hellman 交換を行います。
フェーズ2で選択する DH グループは、フェーズ 1 で選択したグループに一致させる必要はありません。
Diffie-Hellman グループの選択方法
Branch Office VPN トンネルと BOVPN 仮想インターフェイスについては、フェーズ 1 とフェーズ 2 両方の既定の DH グループが Diffie-Hellman グループ 14 となります。
トンネル初期化とキーの再生成の速度が問題でない場合は、数値が高いほうの DH グループを使用できます。実際の初期化と再生成の速度は、さまざまな要因に依存します。数値の高い DH グループを試して、パフォーマンスが遅いのはネットワークの問題であるかどうかを判断することができます。パフォーマンスが承認されない場合、下等 DH グループに変更します。
Fireware v11.12.4 以前では、既定の DH グループは Diffie-Hellman グループ 2 です。