Forbedringer av VPN-nøkkelutveksling i iOS 9.3, OS X 10.11.4 og Server 5.1
iOS 9.3, OS X 10.11.4 og Server 5.1 legger til støtte for nye Diffie-Hellman-nøkkelutvekslingsgrupper for å forbedre sikkerheten av VPN-tilkoblinger.
Disse utgivelsene legger til støtte for Diffie-Hellman (DH)-gruppe 14 og 5 til L2TP over IPSec, og Diffie-Hellman-gruppe 14 til Cisco IPSec. De nye støttede forslagene for nøkkelutveksling er følgende:
DH-gruppe | 14 | 14 | 14 | 14 | 5 | 5 | 5 |
Krypteringsalgoritme | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 |
Hash-algoritme | SHA256 | SHA1 | MD5 | SHA512 | SHA256 | SHA1 | MD5 |
Tidligere versjoner av iOS, OS X og Server støttet kun DH-gruppe 2 for L2TP over IPSec. Tidligere versjoner i iOS støttet også DH-gruppe 5 og 2 for Cisco IPSec, med DH-gruppe 2 for aggressiv modus.
DH-gruppe 2 er fortsatt støttet, men har laveste prioritet for forslagstreff. Både L2TP over IPSec og Cisco IPSec støtter nå DH-gruppene 14, 5, 2, i den rekkefølgen i forhold til prioritet. For aggressiv modus vil VPN-klienten først prøve med DH-gruppe 14. Om det feiler, prøver den igjen med DH-gruppe 2. Apple anbefaler å bruke gruppe 14 eller gruppe 5 siden de gir bedre sikkerhet enn gruppe 2, som kan være sårbar for å bli kompromittert.
