<div dir="ltr"><div><div><div>Hi Harrii,<br></div>I can give you only an opinion of strongswan user but this is not an opinion of cryptographic expert. <br><br></div>I think that using pfs for child_sa is not critical issue but it is better to use it if you can. If you do not use pfs for phase 2 crypto keys for this phase are derived from other keys (i do not know the details). If you use pfs for child_sa, phase 2 keys are "independent" from phase 1 keys so if they (i.e. phase 1 keys) are compromised this gives no additional information for eavesdropper for decrypting child_sa traffic. <br><br></div>Of course not all dh groups are considered save. So using pfs does not mean automatically that your data are safe.<br><div><br></div><div>Regads,<br></div><div>John<br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-03-04 9:18 GMT+01:00 Harald Dunkel <span dir="ltr"><<a href="mailto:harald.dunkel@aixigo.de" target="_blank">harald.dunkel@aixigo.de</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi John,<br>
<span class=""><br>
On 03/01/2016 12:55 PM, John Brown wrote:<br>
> Hi,<br>
><br>
>  I can give you two links with some small amount information about your question:<br>
><br>
> <a href="http://www.juniper.net/documentation/en_US/junos12.1x46/topics/concept/vpn-security-phase-2-ipsec-proposal-understanding.html" rel="noreferrer" target="_blank">http://www.juniper.net/documentation/en_US/junos12.1x46/topics/concept/vpn-security-phase-2-ipsec-proposal-understanding.html</a><br>
><br>
> and<br>
><br>
> <a href="https://wiki.strongswan.org/projects/strongswan/wiki/SecurityRecommendations#Perfect-Forward-Secrecy-PFS" rel="noreferrer" target="_blank">https://wiki.strongswan.org/projects/strongswan/wiki/SecurityRecommendations#Perfect-Forward-Secrecy-PFS</a><br>
><br>
<br>
</span>I saw the wiki article before, of course. Point is that some<br>
implementations don't support PFS for phase 2, including the<br>
iphones (at least for IKEv1), Windows(7?, 10?) and even<br>
charon-nm. Since I made PFS optional for phase 2 in our road<br>
warrior setup on the server a lot of "broken connection after<br>
an hour or so" problems went away.<br>
<br>
AFAIU PFS provides a means to create a symmetric key on both<br>
peers without exchanging anything secret over a (possibly<br>
unprotected or compromised) communication line. I am not sure<br>
if this is an issue for phase 2. Is it?<br>
<br>
<br>
Regards<br>
Harri<br>
<br>
</blockquote></div><br></div>