這篇文章已封存,而且 Apple 也不會再更新。
iOS 9.3、OS X 10.11.4 和 Server 5.1 中的 VPN 密鑰交換增強功能
iOS 9.3、OS X 10.11.4 和 Server 5.1 新增對於全新 Diffie-Hellman 密鑰交換群組的支援,藉此提升 VPN 連線的安全性。
這些新版本為透過 IPSec 的 L2TP 新增 Diffie-Hellman (DH) 群組 14 和 5 的支援,並為 Cisco IPSec 新增 Diffie-Hellman 群組 14 的支援。最新受支援的密鑰交換協定包括:
DH 群組 | 14 | 14 | 14 | 14 | 5 | 5 | 5 |
加密演算法 | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 |
雜湊演算法 | SHA256 | SHA1 | MD5 | SHA512 | SHA256 | SHA1 | MD5 |
舊版 iOS、OS X 和 Server 為透過 IPSec 的 L2TP 提供 DH 群組 2 的支援(僅限此群組)。舊版 iOS 也為 Cisco IPSec 提供 DH 群組 5 和 2 的支援,其中 DH 群組 2 是支援主動(aggressive)模式。
系統仍然支援 DH 群組 2,不過它在系統搜尋符合的協定時,優先順序為最低。現在透過 IPSec 的 L2TP 和 Cisco IPsec 皆支援 DH 群組 14、5、2(按此優先順序)。對於主動模式,VPN 用戶端會先嘗試 DH 群組 14,如果失敗,再嘗試 DH 群組 2。Apple 建議使用群組 14 或群組 5,因為這兩者的安全性高於易遭攻擊破壞的群組 2。
發佈日期: