hash (IKE policy)

Команда hash  применяется для указания хэш-алгоритма, используемого в рамках IKE policy.

Восстановить значения по умолчанию можно с помощью той же команды с префиксом no.

 

Синтаксис           hash  {gost | gost341112-256-tc26 | gost341112-512-tc26 |  tc26-ike-gost3411 | tc26-ike-gost341112-512 | sha | md5} 

                   no  hash  {gost | gost341112-256-tc26 | gost341112-512-tc26 | tc26-ike-gost3411 | tc26-ike-gost 341112-512 | sha | md5} 

gost                               указывает, что в качестве хэш-алгоритма должен использоваться алгоритм ГОСТ Р 34.11-94 (режим HMAC)

gost341112-256-tc26  указывает, что в качестве хэш-алгоритма должен использоваться алгоритм ГОСТ Р 34.11-2012 с длиной хэш-кода 256 (режим HMAC)

gost341112-512-tc26  указывает, что в качестве хэш-алгоритма должен использоваться алгоритм ГОСТ Р 34.11-2012 с длиной хэш-кода 512 (режим HMAC)

tc26-ike-gost3411    указывает, что в качестве хэш-алгоритма должен использоваться алгоритм ГОСТ Р 34.11-94 (режим HMAC). Совместим с КриптоПро IPsec

tc26-ike-gost341112-512      указывает, что в качестве хэш-алгоритма должен использоваться алгоритм ГОСТ Р 34.11-2012 с длиной хэш-кода 512 (режим HMAC). Совместим с КриптоПро IPsec

sha                                 указывает, что в качестве хэш-алгоритма дожен использоваться алгоритм SHA-1 (режим HMAC)

md5                                 указывает, что в качестве хэш-алгоритма должен использоваться алгоритм MD5 (режим HMAC).

 

Значение по умолчанию                    gost 

 

Режимы команды                               ISAKMP policy configuration

 

Рекомендации по использованию 

Используйте эту команду для назначения хэш-алгоритма, используемого в рамках протокола IKE или для восстановления значения по умолчанию. Данная команда работает в режиме ISAKMP policy configuration. Если в качестве метода аутентификации была выбрана цифровая подпись и это подпись на ГОСТ-алгоритмах, то для хэширования необходимо применять алгоритм ГОСТ.

Используемые хэш-алгоритмы указываются в файле cs_conv.ini.

По команде show  running-config команда показывается всегда.

 

В приведенной ниже таблице (Таблица 16) приведены возможные значения хэш-алгоритма в зависимости от используемого алгоритма публичного ключа сертификата.

 

Таблица 16

Алгоритм публичного ключа сертификата

Возможные значения хэш-алгоритма

ГОСТ Р 34.10-2001 с длинами открытого/закрытого ключей 512/256 (1.2.643.2.2.19)

gost, gost341112-256-tc26, tc26-ike-gost3411

ГОСТ Р 34.10-2012 с длинами открытого/закрытого ключей 512/256 (1.2.643.7.1.1.1.1)

gost, gost341112-256-tc26, tc26-ike-gost3411

ГОСТ Р 34.10-2012 с длинами открытого/закрытого ключей 1024/512 (1.2.643.7.1.1.1.2)

gost341112-512-tc26, tc26-ike-gost341112-512

RSA (1.2.840.113549.1.1.1)

md5, sha

DSA (1.2.840.10040.4.1)

sha

 

Отличие данной команды от подобной команды Cisco  IOS: 

По команде show  running-config данная команда показывается всегда, даже при значении по умолчанию.

 

Пример 

Ниже приведен пример назначения в качестве хэш-алгоритма алгоритма ГОСТ Р 34.11-94 HMAC. Остальные параметры устанавливаются по умолчанию:

Router(config)#crypto isakmp policy 10

 Router(config-isakmp)#hash gost

 Router(config-isakmp)#exit