Miglioramenti allo scambio di chiavi VPN in iOS 9.3, OS X 10.11.4 e Server 5.1
iOS 9.3, OS X 10.11.4 e Server 5.1 aggiungono il supporto per nuovi gruppi di scambio chiavi Diffie-Hellman con l'obiettivo di migliorare la sicurezza delle connessioni VPN.
Queste versioni aggiungono supporto per il Gruppo Diffie-Hellman (DH) 14 e 5 nei protocolli basati su L2TP su IPSec e nel Gruppo Diffie-Hellman 14 nei protocolli basati su Cisco IPSec. Le nuove proposte di scambio di chiavi supportate sono:
Gruppo DH | 14 | 14 | 14 | 14 | 5 | 5 | 5 |
Algoritmo di crittografia | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 |
Algoritmo hash | SHA256 | SHA1 | MD5 | SHA512 | SHA256 | SHA1 | MD5 |
Le versioni precedenti di iOS, OS X e Server supportavano il Gruppo DH 2 (solo) nei protocolli basati su L2TP su IPSec. Le versioni precedenti di iOS supportavano anche il Gruppo DH 5 e 2 nei protocolli basati su Cisco IPSec, con il Gruppo DH 2 in modalità aggressiva.
Il Gruppo DH 2 è ancora supportato ma ha una priorità inferiore nella ricerca di una corrispondenza. I protocolli L2TP su IPSec e Cisco IPSec ora supportano i Gruppi DH 14, 5 2 in questo ordine di preferenza. In modalità aggressiva, il client VPN cercherà innanzitutto nel Gruppo DH 14 e solo successivamente, se necessario, nel Gruppo 2. Apple consiglia di usare il Gruppo 14 o il Gruppo 5 poiché offrono una maggiore sicurezza rispetto al Gruppo 2, che potrebbe essere più vulnerabile agli attacchi.