Profils de chiffrement

La confidentialité et l’intégrité des flux échangés sur un VPN (site-à-site ou client-à-site) reposent sur l’utilisation d’algorithmes cryptographiques robustes négociés entre les deux parties. L’utilisation de profils de chiffrement permet d’expliciter les algorithmes autorisés. Bien que le profil pré-configuré StrongEncryption soit compatible avec les exigences de l'annexe B1 du RGS, il est conseillé de redéfinir manuellement des profils de chiffrement IKE et IPsec.

Les tableaux ci-dessous donnent le profil minimum de chiffrement compatible avec les préconisations du RGS. Les cryptopériodes indiquées dans ces tableaux ne sont pas directement issues du RGS mais données à titre indicatif. Elles doivent être définies en fonction de la politique de sécurité de l’organisme.

Profil minimum de chiffrement IKE compatible avec le RGS

Paramètre Valeur
Algorithme de chiffrement AES-CBC 128
Fonction de hachage SHA 256
Groupe Diffie-Hellman Groupe DH14 (2048 bits)
Cryptopériode 21600s

Profil minimum de chiffrement IPsec compatible avec le RGS

Paramètre Valeur
Algorithme de chiffrement AES-GCM 256
Fonction de hachage SHA 384
Groupe Diffie-Hellman Groupe 19 (256 bits)
Cryptopériode 3600s

R38 | SNS-SMC | Utiliser des algorithmes robustes pour IKE et IPsec
Il est recommandé d’utiliser au moins les algorithmes AES-GCM 256, SHA 384 et le groupe Diffie-Hellman 19 dans les profils de chiffrement IKE et IPsec.
Les profils de chiffrement se trouvent dans le menu Configuration > VPN > VPN IPsec > Profils de chiffrement pour les pare-feux SNS et dans le menu Configuration > Profils de chiffrement sur le serveur SMC.