Profils de chiffrement
La confidentialité et l’intégrité des flux échangés sur un VPN (site-à-site ou client-à-site) reposent sur l’utilisation d’algorithmes cryptographiques robustes négociés entre les deux parties. L’utilisation de profils de chiffrement permet d’expliciter les algorithmes autorisés. Bien que le profil pré-configuré StrongEncryption soit compatible avec les exigences de l'annexe B1 du RGS, il est conseillé de redéfinir manuellement des profils de chiffrement IKE et IPsec.
Les tableaux ci-dessous donnent le profil minimum de chiffrement compatible avec les préconisations du RGS. Les cryptopériodes indiquées dans ces tableaux ne sont pas directement issues du RGS mais données à titre indicatif. Elles doivent être définies en fonction de la politique de sécurité de l’organisme.
Profil minimum de chiffrement IKE compatible avec le RGS
| Paramètre | Valeur |
| Algorithme de chiffrement | AES-CBC 128 |
| Fonction de hachage | SHA 256 |
| Groupe Diffie-Hellman | Groupe DH14 (2048 bits) |
| Cryptopériode | 21600s |
Profil minimum de chiffrement IPsec compatible avec le RGS
| Paramètre | Valeur |
| Algorithme de chiffrement | AES-GCM 256 |
| Fonction de hachage | SHA 384 |
| Groupe Diffie-Hellman | Groupe 19 (256 bits) |
| Cryptopériode | 3600s |
R38 | SNS-SMC | Utiliser des algorithmes robustes pour IKE et IPsec
Il est recommandé d’utiliser au moins les algorithmes AES-GCM 256, SHA 384 et le groupe Diffie-Hellman 19 dans les profils de chiffrement IKE et IPsec.
Les profils de chiffrement se trouvent dans le menu Configuration > VPN > VPN IPsec > Profils de chiffrement pour les pare-feux SNS et dans le menu Configuration > Profils de chiffrement sur le serveur SMC.