Новые группы обмена ключами в сети VPN для ОС iOS 9.3, OS X 10.11.4 и Server 5.1
В операционных системах iOS 9.3, OS X 10.11.4 и Server 5.1 улучшена защита VPN-соединений благодаря поддержке новых групп обмена ключами Диффи — Хеллмана (DH-групп).
В этих выпусках добавлена поддержка DH-групп 14 и 5 для соединений по протоколу L2TP через IPSec и DH-группы 14 для сетей Cisco IPSec. Добавлены следующие варианты распределения ключей:
DH-группа | 14 | 14 | 14 | 14 | 5 | 5 | 5 |
Алгоритм шифрования | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 |
Алгоритм хеширования | SHA256 | SHA1 | MD5 | SHA512 | SHA256 | SHA1 | MD5 |
В предыдущих версиях ОС iOS, OS X и Server для соединений по протоколу L2TP через IPSec поддерживалась только DH-группа 2. Для сетей Cisco IPSec в предыдущей версии ОС iOS поддерживались DH-группы 5 и 2 (последняя использовалась для активного режима).
DH-группа 2 продолжает поддерживаться, однако при поиске соответствия у этой группы будет самый низкий приоритет. Для соединений по протоколу L2TP через IPSec и в сетях Cisco IPsec теперь поддерживаются DH-группы 14, 5 и 2 (указаны в порядке приоритетности). В активном режиме VPN-клиент сначала попытается задействовать DH-группу 14, а в случае неудачи повторит попытку с DH-группой 2. Группа 2 менее надежна, поэтому компания Apple рекомендует использовать группы 14 и 5, которые обеспечивают более высокий уровень защиты.