關閉完美前向保密是安全威脅嗎？

我不得不在我們的一個 ASA 上的 IPsec 規則中禁用 PFS，以允許 Android Gingerbread 客戶端進行連接。這樣做會損害 VPN 的安全性嗎？通信採用 AES-256 或 AES-128 組密碼。從我的研究來看，PFS 似乎被一些人認為是有問題的，而且說實話我以前從未真正注意到它，所以我只是不知道該怎麼做。

ETA：因為這顯然是相關的，所以有問題的 ASA 僅用於遠端訪問，沒有 lan-to-lan。

這在一定程度上取決於您如何配置 VPN。如果您使用的是預共享密鑰，那麼 PFS 無論如何都不會做太多事情。如果您正在使用證書，擷取會話初始化並且設備的密鑰被洩露（例如手機被盜，這兩者都變得微不足道），那麼在 ASA 上計算密鑰要容易得多（讓某人更容易誰可以擷取任何 VPN 會話來解密會話）。

無論如何，破解密鑰和竊聽 VPN 連接的能力仍然需要大量的計算時間。

引用自：https://serverfault.com/questions/295342