@Ve$eli
set pfs group5 definise da ce IPSec zahtevati pfs - u ovom slucaju 1536-bit DH prime modulus grupu - pri svakom novom SA pregovoru, nova Diffie-Hellman razmena se pokrece.
group 5 komanda u IKE (Internet Key Exchange) polisi (pocetak konfiguracije) govori da ce se (za IKE) koristiti 1536-DH.
Ukljucivanje PFS-a je opciono.
Posto se sugerise da (kada je PFS ukljucen) napadac ne moze kompromitovati podatke sifrovane drugim kljucevima ukoliko razbije neki (pojedinacni) kljuc tokom IPSec saobracaja, vec bi morao da napada pojedinacno svaki segment sifrovan drugim kljucem, odgovor na pitanje 3 bio bi ili da (na nacin na koji si opisao) ili da je moguce desifrovati sam proces razmene kljuceva, pa na osnovu toga dobiti kljuceve za desifrovanje ostalog saobracaja.
Ovo nazalost samo nagadjam, jer ne znam tacan princip rada pfs-a, morao bih negde da pogledam...
@ddrnikola
Sto vise citas, vidis da ima sve vise resenja za tvoj problem :-)
"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."