Forbedringer af udveksling af nøgler for VPN i iOS 9.3, OS X 10.11.4 og Server 5.1
iOS 9.3, OS X 10.11.4 og Server 5.1 tilføjer understøttelse af nye grupper til udveksling af DH-nøgler (Diffie-Hellman) for at forbedre sikkerheden for VPN-forbindelser.
Disse udgivelser tilføjer understøttelse af DH-gruppe 14 og 5 til L2TP over IPSec og DH-gruppe 14 til Cisco IPSec. De nye forslag til udveksling af nøgler er:
DH-gruppe | 14 | 14 | 14 | 14 | 5 | 5 | 5 |
Krypteringsalgoritme | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 |
Hash-algoritme | SHA256 | SHA1 | MD5 | SHA512 | SHA256 | SHA1 | MD5 |
Tidligere versioner af iOS, OS X og Server understøttede kun DH-gruppe 2 til L2TP over IPSec. Tidligere versioner af iOS understøttede også DH-gruppe 5 og 2 til Cisco IPSec med DH-gruppe 2 til aggressiv tilstand.
DH-gruppe 2 understøttes stadig, men har laveste prioritet, når det handler om at finde et matchende forslag. Både L2TP over IPSec og Cisco IPsec understøtter nu DH-grupperne 14, 5, 2 (i den rækkefølge). I aggressiv tilstand vil VPN-klienten først forsøge med DH-gruppe 14. Hvis det mislykkedes, vil den prøve igen med DH-gruppe 2. Apple anbefaler at bruge gruppe 14 eller gruppe 5, eftersom de er mere sikre end gruppe 2, der er mere sårbar over for at blive kompromitteret.