本文說明 Microsoft L2TP/IPSec 虛擬專用網 (VPN) 客戶端的預設加密設定。
套用於:Windows 10 - 所有版本
原始 KB 編號: 325158
摘要
下列清單包含舊版用戶端Microsoft L2TP/IPSec 虛擬專用網 (VPN) 客戶端的預設加密設定:
- 數據加密標準
- 安全哈希演算法
- 迪菲-地獄曼中
- 傳輸模式
- 封裝安全性承載
用戶端不支援下列設定:
- 通道模式
- AH (驗證標頭)
這些值會在用戶端中硬式編碼,您無法加以變更。
數據加密標準
數據加密標準 (3DES) 提供機密性。 3DES 是最安全的 DES 組合,而且效能會稍慢一點。 3DES 會處理每個區塊三次,每次使用唯一索引鍵。
安全哈希演算法
安全哈希演算法 1 (SHA1),具有 160 位密鑰,可提供數據完整性。
迪菲-赫爾曼中
Diffie-Hellman 群組會決定密鑰交換期間所使用的基底質數長度。 任何衍生密鑰的強度部分取決於主要數位所依據的 Diffie-Hellman 群組的強度。
第二組(中)比第一組強(低)。 群組 1 提供 768 位的索引鍵數據,而群組 2 提供 1,024 位。 如果每個對等上指定了不相符的群組,交涉就不會成功。 您無法在交涉期間切換群組。
較大的群組會產生更多的 entropy,因此是較難中斷的索引鍵。
運輸模式
IPSec 的作業模式有兩種:
- 傳輸模式 - 在傳輸模式中,只會加密訊息的承載。
- 通道模式 (不支援) - 在通道模式中,承載、標頭和路由資訊全都會加密。
IPSec 安全性通訊協定
封裝安全性承載
封裝安全性承載 (ESP) 提供機密性、驗證、完整性和反重新執行。 ESP 通常不會簽署整個封包,除非封包正在進行通道。 一般而言,只有數據會受到保護,而不是IP標頭。 ESP 不提供IP標頭的完整性(尋址)。
驗證標頭 (不支援)
驗證標頭 (AH) 會提供整個封包的驗證、完整性和反重新執行功能(IP 標頭和封包中攜帶的數據)。 AH 簽署整個封包。 它不會加密數據,因此不會提供機密性。 您可以讀取數據,但無法加以修改。 AH 會使用 HMAC 演演算法簽署封包。