Melhorias na troca de chaves VPN no iOS 9.3, OS X 10.11.4 e Server 5.1
O iOS 9.3, OS X 10.11.4 e Server 5.1 incluem compatibilidade com os novos grupos para troca de chaves do Diffie-Hellman para melhorar a segurança das conexões VPN.
Essas versões incluem compatibilidade com os grupos 14 e 5 do Diffie-Hellman (DH) para L2TP por IPSec e com o grupo 14 do Diffie-Hellman para Cisco IPSec. As novas propostas da troca de chaves compatíveis são:
Grupo do DH | 14 | 14 | 14 | 14 | 5 | 5 | 5 |
Algoritmo de criptografia | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 |
Algoritmo hash | SHA256 | SHA1 | MD5 | SHA512 | SHA256 | SHA1 | MD5 |
As versões anteriores do iOS, OS X e Server eram compatíveis com o grupo 2 (somente) do DH para L2TP por IPSec. As versões anteriores do iOS também eram compatíveis com os grupos 5 e 2 do DH para Cisco IPSec, sendo o grupo 2 do DH para o modo agressivo.
O grupo 2 do DH ainda é compatível, mas tem a prioridade mais baixa ao encontrar uma correspondência proposta. Agora, tanto o L2TP por IPSec quanto o Cisco IPSec são compatíveis com os grupos 14, 5 e 2 do DH, nessa ordem de preferência. Para o modo agressivo, o cliente VPN tentará primeiro com o grupo 14 do DH. Se não obtiver resultado, tentará novamente com o grupo 2 do DH. A Apple recomenda a utilização dos grupos 14 ou 5, pois fornecem maior segurança em comparação com o grupo 2, que pode ser vulnerável a comprometimentos.