VPN-avaintenvaihdon parannukset iOS 9.3:ssa, OS X 10.11.4:ssä ja Server 5.1:ssä
iOS 9.3, OS X 10.11.4 ja Server 5.1 tuovat käyttöön tuen uusille Diffie-Hellman-avaintenvaihtoryhmille ja parantavat VPN-yhteyksien suojausta.
Nämä versiot lisäävät tuen Diffie-Hellman (DH) -ryhmille 14 ja 5 L2TP over IPSec -protokollaan sekä Diffie-Hellman-ryhmälle 14 Cisco IPSec -protokollaan. Uudet tuetut avaintenvaihtoehdotukset ovat seuraavat:
DH-ryhmä | 14 | 14 | 14 | 14 | 5 | 5 | 5 |
Salausalgoritmi | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 |
Tiivistealgoritmi | SHA256 | SHA1 | MD5 | SHA512 | SHA256 | SHA1 | MD5 |
iOS:n, OS X:n ja Serverin aikaisemmat versiot tukivat (vain) DH-ryhmän 2 L2TP over IPSec -protokollaa. iOS:n aikaisemmat versiot tukivat myös DH-ryhmien 5 ja 2 Cisco IPSec -protokollaa sekä DH-ryhmää 2 aggressiivisessa tilassa.
DH-ryhmää 2 tuetaan edelleen, mutta sillä on alin prioriteetti ehdotusvastaavuuksia haettaessa. Sekä L2TP over IPSec- että Cisco IPsec -protokolla tukevat nyt DH-ryhmiä 14, 5 ja 2, tässä järjestyksessä. Aggressiivisessa tilassa VPN-asiakas kokeilee ensin DH-ryhmää 14. Jos se ei toimi, se yrittää uudelleen DH-ryhmällä 2. Apple suosittelee ryhmän 14 tai ryhmän 5 käyttöä, sillä niiden suojaus on vahvempi kuin ryhmän 2, joka voi olla altis haavoittuvuuksille.