Awaria HMAC GCM

0

Próbuję skonfigurować dla IPSEC GCM - jest to błąd, który wciąż pojawia się:

Error(s): 
'encryption-algorithm aes-256-gcm'

1) HMAC Authentication is not compatible with AES-GCM
2) commit failed: (statements constraint check failed) 
to match a CISCO config of the following
Additional VPN changes:
DH group 24 on phase 1
PFS-group 24 on phase 2
AES-256-CBC and SHA 256 on phase 1
AES-256-GCM and SHA 256 on phase 2.
vpn  authentication  ipsec  aes 
e-sushi
źródło
... lub możemy potraktować to jako problem z protokołem i pozwolić Poncho odpowiedzieć: P (nie spodziewałem się, że uzyska tutaj zwięzłą odpowiedź, możemy zgadywać, że HMAC i GCM oznaczałyby podwójne tagi uwierzytelnienia, ale zgadywanie nie wystarczy - więc może mieć więcej okazji @ networking)
Maarten Bodewes

Odpowiedzi:

2

Protokół IPsec nie pozwala wykonywać zarówno GCM, jak i ESP-SHA256-HMAC na tym samym SA. Jeśli konfigurujesz GCM - uwierzytelniony szyfr, nie musisz wykonywać HMAC.

Tag uwierzytelniania GCM już zapewnia integralność i uwierzytelnianie wiadomości. Nie ma potrzeby obliczania HMAC w celu utworzenia kolejnego znacznika uwierzytelnienia.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.