Améliorations apportées au VPN Key Exchange sur iOS 9.3, OS X 10.11.4 et Server 5.1
iOS 9.3, OS X 10.11.4 et Server 5.1 prennent désormais en charge les nouveaux groupes d’échange de clés Diffie-Hellman afin d’améliorer la sécurité des connexions par VPN.
Ces nouvelles versions prennent en charge les groupes Diffie-Hellman (DH) 14 et 5 vers L2TP/IPSec et le groupe Diffie-Hellman 14 vers Cisco IPSec. Les nouvelles propositions d’échange de clés sont les suivantes :
Groupe DH | 14 | 14 | 14 | 14 | 5 | 5 | 5 |
Algorithme d’encodage | AES-256 | AES-256 | AES-256 | AES-256 | AES-256 | AES-256 | AES-256 |
Algorithme de hachage | SHA-256 | SHA-1 | MD5 | SHA-512 | SHA-256 | SHA-1 | MD5 |
Les versions précédentes d’iOS, OS X et Server prenaient en charge le groupe DH 2 (uniquement) pour L2TP/IPSec. Les versions précédentes d’iOS prenaient également en charge les groupes DH 5 et 2 pour Cisco IPSec et le groupe DH 2 pour le mode agressif.
Le groupe DH 2 reste pris en charge mais il a une priorité moindre lors des propositions de concordance. L2TP/IPSec et Cisco IPsec prennent tous deux désormais en charge les groupes DH 14, 5, 2, dans cet ordre de préférence. Concernant le mode agressif, le client VPN tentera d’abord le groupe DH 14 ; en cas d’échec, il fera une nouvelle tentative avec le groupe DH 2. Apple recommande d’utiliser le groupe 14 ou 5 car ils confèrent une plus grande sécurité que le groupe 2, plus vulnérable.
