Параметры IKE phase2 / IPsec

В этой области задаются параметры для второй фазы IKE.

 

Группа PFS – указываются параметры выработки ключевого материала, высылаемые партнеру для согласования при создании SA (Security Association), если используется опция PFS (perfect  forward  secrecy).

Если была выбрана криптография ГОСТ, предлагаются:

·       VKO_1Bпри согласовании новой SAвыполняется новый обмен ключами по алгоритму VKO ГОСТ Р 34.10-2001 [RFC4357] (длина ключа 256 бит). Это значение используется по умолчанию.

·       VKO2_1Bпри согласовании новой SAвыполняется новый обмен ключами по алгоритму VKO ГОСТ Р 34.10-2012 (длина ключа 256 бит).

·       NO_PFS –опция PFS не используется, в этом случае ключевой материал заимствуется из первой фазы IKE.

Если была выбрана криптография с использованием международных алгоритмов – предлагается следующий список:

·       MODP_1024при согласовании новой SAвыполняется новый обмен ключами по алгоритму Диффи-Хеллмана (1024-битовый вариант).

·       MODP_1536при согласовании новой SAвыполняется новый обмен ключами по алгоритму Диффи-Хеллмана (1536-битовый вариант).

·       NO_PFS –опция PFS не используется, в этом случае ключевой материал заимствуется из первой фазы IKE.

Набор преобразований – задается политика IPsec защиты в виде набора преобразований.

Если была выбрана криптография ГОСТ, предлагается список:

·       ГОСТ MAC – алгоритм шифрования ГОСТ 28147-89 (в режиме простой замены с зацеплением), алгоритм проверки целостности ГОСТ 28147-89 (в режиме выработки имитовставки). Значение по умолчанию.

·       ГОСТ HMAC – алгоритм шифрования ГОСТ 28147-89 (в режиме простой замены с зацеплением), алгоритм проверки целостности ГОСТ Р 34.11-94.

·       ESP_GOST-4M-IMIT – алгоритм ESP_GOST-4M-IMIT самостоятельно обеспечивает как защиту конфиденциальности (шифрование), так и контроль целостности данных (имитозащиту).

Если была выбрана криптография с использованием международных алгоритмов, то предлагается следующий список:

·       DES3 SHA1 – алгоритм шифрования DES3, алгоритм проверки целостности SHA1.

·       AES SHA1 – алгоритм шифрования AES, алгоритм проверки целостности SHA1.

·       DES3 MD5 – алгоритм шифрования DES3, алгоритм проверки целостности MD5.

Время жизни ключа в секундах – задается время, в течение которого IPsec SA будет существовать. Значение по умолчанию – 3600.