4. Вопросы безопасности
Безопасность криптографических систем зависит как от силы выбранных криптоалгоритмов, так и от качества используемых этими алгоритмами ключей. Безопасность также зависит от устройства протокола, используемого системой для предотвращения использования не использующих криптографии путей обхода защиты системы в целом.
Этот документ посвящен выбору криптографических алгоритмов для использования с IKEv2, а именно — выбору алгоритмов, обязательных для реализации. Алгоритмы, для которых указано MUST (необходимо) и SHOULD (следует), приняты к считаются безопасными в настоящее время и криптографические исследования позволяют надеяться на то, что они останутся безопасными в обозримом будущем. Однако это предположение может не оправдаться. Следовательно, в будущем могут появляться пересмотренные варианты этого документа, отражающие накопленный опыт.
5. Нормативные документы
| [RFC2409] | Harkins, D. и D. Carrel, «The Internet Key Exchange (IKE)», RFC 2409, Ноябрь 1998. |
| [IKEv2] | Kaufman, C., Ed., «Протокол обмена ключами в Internet (IKEv2)», RFC 4306, Декабрь 2005. |
| [RFC2119] | Bradner, S., «Key words for use in RFCs to Indicate Requirement Levels», BCP 14, RFC 2119, Март 1997. |
| [RFC3526] | Kivinen, T. и M. Kojo, «More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE)», RFC 3526, Май 2003. |
| [RFC2451] | Pereira, R. и R. Adams, «The ESP CBC-Mode Cipher Algorithms», RFC 2451, Ноябрь 1998. |
| [RFC2410] | Glenn, R. и S. Kent, «The NULL Encryption Algorithm and Its Use With IPsec», RFC 2410, Ноябрь 1998. |
| [AES-CBC] | Frankel, S., Glenn, R., and S. Kelly, «The AES-CBC Cipher Algorithm and Its Use with IPsec», RFC 3602, Сентябрь 2003. |
| [AES-CTR] | Housley, R., «Using Advanced Encryption Standard (AES) Counter Mode With IPsec Encapsulating Security Payload (ESP)», RFC 3686, Январь 2004. |
| [RFC2104] | Krawczyk, H., Bellare, M., and R. Canetti, «HMAC: Keyed-Hashing for Message Authentication», RFC 2104, Февраль 1997. |
| [AESPRF] | Hoffman, P., «The AES-XCBC-PRF-128 Algorithm for the Internet Key Exchange Protocol (IKE)», RFC 3664, Январь 2004. |
| [RFC2403] | Madson, C. и R. Glenn, «The Use of HMAC-MD5-96 within ESP and AH», RFC 2403, Ноябрь 1998. |
| [RFC2404] | Madson, C. и R. Glenn, «The Use of HMAC-SHA-1-96 within ESP and AH», RFC 2404, Ноябрь 1998. |
| [AES-MAC] | Frankel, S. и H. Herbert, «The AES-XCBC-MAC-96 Algorithm and Its Use With IPsec», RFC 3566, Сентябрь 2003. |
Адрес автора
Jeffrey I. Schiller
Massachusetts Institute of Technology
Room W92-190
77 Massachusetts Avenue
Cambridge, MA 02139-4307 USA
Phone: +1 (617) 253-0161
EMail: ude.tim@sij