2 группы ключей диффи-хелмана (dh), 13 настройка расширенных параметров ike, Разд – Инструкция по эксплуатации Zyxel P-2602H
Страница 258
Руководство пользователя cерии P-2602H/HW EE
258
Глава 17 Экраны VPN
17.12.2 Группы ключей Диффи-Хелмана (DH)
Протокол Диффи-Хелмана (DH) представляет собой криптографический протокол с
открытым ключом, позволяющий двум сторонам согласовать секретный ключ по
незащищенному каналу связи. Протокол Диффи-Хелмана используется во время
подготовки IKE SA для формирования ключей сеанса. Поддерживаются две группы
ключей Диффи-Хелмана: 768-битная (группа 1 - DH1) и 1024-битная (группа 2 – DH2).
По завершении обмена ключами Диффи-Хелмана обе удаленные стороны получают
общий секретный ключ, но IKE SA не аутентифицируется. Если необходима
аутентификация, следует применять ключи для предварительного совместного
использования.
17.12.3 Защита от разглашения использованных ключей (PFS)
Включение режима PFS делает ключ временным. В каждом очередном согласовании
IPSec SA участвует новый ключ, для чего обмен ключами Диффи-Хелмана выполняется
заново. Если при включенном режиме PFS один ключ случайно станет известен, это не
поставит под угрозу предыдущие и последующие ключи, поскольку каждый
последующий ключ не может быть получен из предыдущего. Недостатком этой
дополнительной меры защиты является длительный обмен ключами Диффи-Хелмана.
Для данных, не требующих подобной степени защиты, это может оказаться
нежелательным, поэтому по умолчанию в P-2602 режим PFS отключен (None).
Отключение PFS означает, что ключи шифрования для каждой очередной
аутентификации получаются из одного и того же корневого секретного ключа (что и
является причиной меньшей защищенности этой схемы), но формирование SA
осуществляется быстрее за счет того, что обмен ключами Диффи-Хелмана
пропускается.
17.13 Настройка расширенных параметров IKE
Чтобы перейти на показанный ниже экран, на экране
выберите Advanced.