В настоящее время я изучаю протокол IKEv2 с шифрованием полезной нагрузки ESP. Для ESP я хочу использовать PFS с DH Group 5 (которая работает). Однако я не могу выяснить, в каком пакете эти настройки отправляются партнеру.

В первых двух пакетах (IKE_SA_INIT) я могу найти группу DH для IKE SA. Я предполагаю, что настройка отправляется в 3-м /4-м сообщении (IKE AUTH), поскольку в нем есть все, что имеет отношение к CHILD_SA (алгоритм ENC /AUTH). Но я не могу найти его (я расшифровал пакет, используя расшифровку wireshark isakmp).

Где эта настройка скрыта? Спасибо

|источник

1 ответ1

0

Первый дочерний SA согласовывается в полезной нагрузке IKE_AUTH. Он называется SA [i | r] 2 https://tools.ietf.org/html/rfc7296#section-1.2 . Это дополнительная полезная нагрузка SA в полезной нагрузке IKE_AUTH. RFC заявляет:

Обратите внимание, что сообщения IKE_AUTH не содержат полезных нагрузок KEi/KEr или Ni/Nr. Таким образом, полезные нагрузки SA в обмене IKE_AUTH не могут содержать тип преобразования 4 (группа Диффи-Хеллмана) с любым значением, отличным от NONE. Реализациям СЛЕДУЕТ пропустить всю подструктуру преобразования вместо отправки значения NONE.

Чтобы точно ответить на ваш вопрос: PFS не существует для первого CHILD_SA, который является частью обмена IKE_AUTH. Любые настройки, касающиеся PFS для CHILD_SA, применяются только к обменам CHILD_SA для создания новых CHILD_SA после первоначальных обменов.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .