3. Выбор алгоритма
Для того, чтобы реализация IPsec была интероперабельной, она должна поддерживать по крайней мере один алгоритм защиты. В этом разделе приведены требования по реализации алгоритмов защиты для соответствующих спецификации реализаций протоколов ESP и AH. Алгоритмы защиты, реальго используемые любой конкретной защищенной связью ESP или AH, определяются механизмом согласования (таким, как IKE1 [RFC2409, IKEv2]) или задаются заранее.
Естественно, допускается реализация дополнительных (стандартных или фирменных) алгоритмов, не упомянутых в этом документе.
3.1. Протокол ESP
Требования в поддержке алгоритмов защиты для соответствующих спецификации реализаций протокола ESP приведены ниже. Определения уровней требований содержатся в разделе 2.
Требования | Алгоритм шифрования |
MUST — обязательно | NULL |
MUST- — обязательно, но может утратить статус | TripleDES-CBC [RFC2451] |
SHOULD+ — следует, но может стать обязательным | AES-CBC с ключами размером 128 битов [RFC3602] |
SHOULD — следует | AES-CTR [RFC3686] |
SHOULD NOT — не следует | DES-CBC [RFC2405] |
Требования | Алгоритм идентификации |
MUST — обязательно | HMAC-SHA1-96 [RFC2404] |
MUST — обязательно | NULL |
SHOULD+ — следует, но может стать обязательным | AES-XCBC-MAC-96 [RFC3566] |
MAY — возможно | HMAC-MD5-96 [RFC2403] |