Profils de chiffrement
La confidentialité et l’intégrité des flux échangés sur un VPN (site-à-site ou client-à-site) reposent sur l’utilisation d’algorithmes cryptographiques robustes négociés entre les deux parties. L’utilisation de profils de chiffrement permet d’expliciter les algorithmes autorisés. Bien que le profil pré-configuré StrongEncryption soit compatible avec les exigences de l'annexe B1 du RGS, il est conseillé de redéfinir manuellement des profils de chiffrement IKE et IPsec.
Il est recommandé d’utiliser par ordre de préférence les algorithmes :
- De chiffrement sur 256 bits ou à défaut 128 bits : AES-GCM, AES-CTR, AES-CBC,
- D’authentification ou d’intégrité GMAC intégrée si emploi d’AES-GCM, SHA2-512, SHA2-384, SHA2-256,
- D’échange de clé Diffie-Hellman (PFS en phase 2) d’au moins 256 bits sur courbe elliptiques. S’il n’y a pas de courbe elliptique disponible, utiliser des modules d’au moins 3072 bits. Cela se traduit en numéro de groupe DH par ordre de solidité : 30 ou 21, 29 ou 20, 28 ou 19, 18, 17, 16, 15
Les tableaux ci-dessous donnent le profil minimum de chiffrement compatible avec les préconisations du RGS. Les cryptopériodes indiquées dans ces tableaux ne sont pas directement issues du RGS mais données à titre indicatif. Elles doivent être définies en fonction de la politique de sécurité de l’organisme.
Profil de chiffrement IKE recommandé par l'ANSSI
Paramètre | Valeur minimum | Valeur recommandée |
Algorithme de chiffrement | AES GCM 256 | AES GCM 256 |
Groupe Diffie-Hellman | Groupe DH15 (3072 bits) | Groupe DH28 (256 bits) |
Cryptopériode | 86400s | 21600s |
Profil de chiffrement IPsec recommandé par l'ANSSI
Paramètre | Valeur minimum | Valeur recommandée |
Algorithme de chiffrement | AES CBC 128 | AES GCM 256 |
Fonction de hachage / Authentification | SHA 256 | |
Groupe Diffie-Hellman | Groupe DH14 (2048 bits) | Groupe DH28 (256 bits) |
Cryptopériode | 21600s | 3600s |
Pour en savoir plus, veuillez consulter le Guide de sélection d'algorithmes cryptographiques de l'ANSSI.
R38 | SNS-SMC | Utiliser des algorithmes robustes pour IKE et IPsec
Il est recommandé d’utiliser des algorithmes de chiffrement en accord avec les éléments ci-dessus et ceux du Guide de sélection d'algorithmes cryptographiques de l'ANSSI.
Les profils de chiffrement se trouvent dans le menu Configuration > VPN > VPN IPsec > Profils de chiffrement pour les pare-feux SNS et dans le menu Configuration > Profils de chiffrement sur le serveur SMC.