Mejoras en el intercambio de claves para VPN en iOS 9.3, OS X 10.11.4 y Server 5.1
iOS 9.3, OS X 10.11.4 y Server 5.1 ahora admiten nuevos grupos de intercambio de claves Diffie-Hellman para reforzar la seguridad de las conexiones VPN.
Estas versiones de software ahora admiten los grupos Diffie-Hellman (DH) 14 y 5 para L2TP mediante IPSec y el grupo DH 14 para Cisco IPSec. Estas son las propuestas para el intercambio de claves que ahora se admite:
Grupo DH | 14 | 14 | 14 | 14 | 5 | 5 | 5 |
Algoritmo de encriptación | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 |
Algoritmo de hash | SHA256 | SHA1 | MD5 | SHA512 | SHA256 | SHA1 | MD5 |
Las versiones anteriores de iOS, de OS X y de Server solo admitían el grupo DH 2 para L2TP mediante IPSec. Las versiones anteriores de iOS también admitían los grupos DH 5 y 2 para Cisco IPSec; el grupo DH 2 se usaba para el modo agresivo.
El grupo DH 2 sigue estando disponible pero tiene la prioridad más baja para encontrar coincidencias de propuestas. L2TP mediante IPSec y mediante Cisco IPSec ahora admiten los grupos DH 14, 5 y 2, en ese orden de preferencia. Para el modo agresivo, el cliente VPN intenta primero con el grupo DH 14; si la operación falla, lo vuelve a intentar con el grupo DH 2. Apple recomienda los grupos 14 o 5 porque son más seguros que el grupo 2; este grupo puede ser vulnerable a ataques.