По умолчанию в операционных системах Windows 7 и Windows 11 предлагается только слабый modp1024 алгоритм обмена ключами Диффи-Хеллмана, который устарел согласно специальной публикации NIST 800-57, часть 3, редакция 1, с 2015 года:
ike = 3des-aes128-aes192-aes256-sha1-sha256-sha384-modp1024
Кроме того, Windows 11 предлагает AES-GCM алгоритм аутентифицированного шифрования (AEAD), но, к сожалению, и с уязвимой modp1024 группой Диффи-Хеллмана.
ike = aes128gcm16-aes256gcm16-sha1-sha256-sha384-modp1024
Поэтому, если вы не хотите, чтобы какая-либо крупная секретная служба прослушивала ваши разговоры, мы настоятельно рекомендуем вам включить modp2048 группу Диффи-Хеллмана, добавив ее NegotiateDH2048_AES256 DWORD в реестр Windows с помощью команды regedit:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256
В качестве значений можно использовать 0, 1 или 2. В таблице ниже приведено объяснение значения этих значений.
| Значение | Описание |
|---|---|
| 0 | Отключить AES-256-CBC и MODP-2048. Это значение по умолчанию. |
| 1 | Включить AES-256-CBC и MODP-2048 |
| 2 | Включить обязательное использование AES-256-CBC и MODP-2048. |
При установке значения на 2, Windows 11 предлагает
ike = aes256-sha1-sha256-sha384-modp2048
К сожалению, предлагаемые решения ESP по-прежнему содержат слабые алгоритмы шифрования, DES в том числе и одиночные NULL, а целостность данных ограничена определенными параметрами SHA1
esp = aes256-aes128-3des-des-null-sha1
С помощью Set-VpnConnectionIPsecConfiguration командлета PowerShell можно использовать еще больше алгоритмов, таких как AES-GCM и ECP группы Диффи-Хеллмана (по крайней мере, в Windows 10). VPN-соединение можно добавить через графический интерфейс или с помощью Add-VpnConnection командлета.