IPsec PFS混淆

Question

我正在阅读关于PFS如何在IPsec中工作的相互矛盾的内容。一些消息人士说，这仅仅是对第一阶段IKE/ISAKMP的重新协商，忽略了最初的IKE/ISAKMP生存期值，它为第二阶段IPsec SA密钥材料生成了一个新的派生密钥。其他人说，这是一个完全独立的DH密钥交换，生产自己的第二阶段IPsec SA密钥材料，不依赖从重新谈判的IKE/ISAKMP SA衍生密钥。

还是两者兼而有之？这意味着PFS触发了两个新的DH密钥交换--一个用于新的IKE/ISAKMP，另一个用于独立于新IKE/ISAKMP派生密钥的IPsec SAs？

Answer 1

每个实现可能在某些细节上有所不同，并且每个连接将协商任何IPSec对等关系的一些功能和特性，但基本思想是，如果为对等端设置指定了PFS，则第二阶段协商/连接过程中的每个快速模式将执行另一个DH交换。

思科称：

完全前向保密:如果在IPSec策略中指定了完全前向保密(PFS)，则在每个快速模式下执行一个新的Diffie-Hellman交换，提供具有更大熵(关键材料寿命)的密钥材料，从而更好地抵抗密码攻击。每个Diffie-Hellman交换都需要很大的指数，因此增加了CPU的使用并增加了性能成本。

基本上，第一阶段的设置只为对等连接完成一次(直到超时或到达生命结束为止)，第二阶段将在对等连接的生命周期内按照协商的时间表一次又一次地重复，但是对于PFS，它以更大的熵和更频繁的频率完成更多的工作，从而使任何类型的重放攻击都更难成功地从会话中删除任何捕获的数据。

Answer 2

对于不推荐的IKEv1 (ISAKMP)，每个IPsec SA都是通过单独的快速模式交换进行协商的。每个人都可以使用自己的DH交换获得新鲜的关键材料。同龄人必须严格同意DH组，以及是否使用DH。如果不进行DH交换，则密钥来自IKE SA的密钥材料。当替换IPsec SAs时，会重复相同的模式(重新键)。IKE是用IKEv1 (重新身份验证)从头开始重新创建的，而不影响现有的IPsec SAs (基本上被视为独立于IKE SAs)，但是后来创建的密钥将基于新的密钥材料，即使它们不使用单独的密钥交换。

对于IKEv2，使用IKE_AUTH交换创建的第一个子/IPsec SA总是从IKE SA的关键材料中派生出来，除非使用无子女IKE SA发起(RFC 6023)。在CREATE_CHILD_SA交换期间，所有其他的子密钥交换(以及没有子的初始化也是第一个)可以选择使用独立的密钥交换，否则，密钥是从IKE SA的密钥派生出来的。同样的情况下，也适用于重组子SAs。

与IKEv1不同，密钥交换方法可以协商(响应方可以拒绝KE有效载荷中的密钥交换方法，并请求发起者提议的另一个有效负载)，它甚至可以是可选的(发起者可以在提议中不包括任何)，这可以避免IKEv1中出现的一些问题，在这些问题中，两个对等方都必须严格同意。然而，在IKE_AUTH期间，从儿童SA提案中删除KE转换也会产生一个问题，如果对等方完全不同意是否使用或使用哪种密钥交换方法来重新调整初始的子SA。

与IKEv1一样，IKE可以重新验证(即从头开始替换)，但是这里也重新创建了所有的子SAs。因此，他们都从新的IKE的密钥材料或从一个独立的密钥交换获得新的钥匙。IKEv2还通过强制密钥交换为IKE SAs提供内联重键。类似于使用IKEv1的重新身份验证，这不影响现有的子SAs，但是在IKE重键之后创建或重新密钥的所有子SAs都将基于新IKE的新密钥材料，即使它们不使用独立的密钥交换。

基于此，您可以看到基本上有两层PFS。在IKE层，这是强制性的，因此，根据IKE和IPsec SAs重新调整的时间间隔，后者也定期获得新的密钥材料，而不需要额外的开销(特别是如果只有一个子SA)。不过，他们的钥匙与IKE SA的密钥交换有关。因此，在某些情况下，为每个子SA使用单独的密钥交换可能更好，以保护具有完全独立密钥的通信量。对于IKEv2来说，要实现这一目标，每个孩子都需要无子女的IKE启动，包括第一个孩子。

还请注意，可能有实现重用密钥交换参数，这可能会降低PFS的级别。