3. Выбор алгоритма
3.1. Выбор алгоритма IKEv2 Algorithm
3.1.1. Алгоритмы шифрования данных
Шифрование данных IKEv2 требует как алгоритма обеспечения конфиденциальности, так и алгоритма обеспечения целостности. Для обеспечения конфиденциальности реализация должна (MUST-) поддерживать 3DES-CBC и следует (SHOULD+0 также поддерживать AES-128-CBC. Для обеспечения целостности должен поддерживаться алгоритм HMAC-SHA1.
3.1.2. Группы Diffie-Hellman
Существует несколько групп MODP, определенных для использования в IKEv2. Эти группы определены как в базовом документе [IKEv2], так и в документе, посвященном расширениям MODP. Группы идентифицируются номерами. Все группы, не указанные здесь, рассматриваются как возможные для реализации.
Номер группы | Длина в битах | Статус | Документ |
2 | 1024 | MUST- | [RFC2409] |
14 | 2048 | SHOULD+ | [RFC3526] |
3.1.3. Алгоритмы преобразования IKEv2 типа 1
IKEv2 определяет несколько алгоритмов для Transfer Type 1 (шифрование). Ниже эти алгоритмы перечислены с указанием статуса для каждого.
Имя | Номер | Документ | Статус |
Резерв | 0 | ||
ENCR_3DES | 3 | [RFC2451] | MUST |
ENCR_NULL | 11 | [RFC2410] | MAY |
ENCR_AES_CBC | 12 | [AES-CBC] | SHOULD+ |
ENCR_AES_CTR | 13 | [AES-CTR] | SHOULD |
3.1.4. Алгоритмы преобразования IKEv2 типа 2
Алгоритмы Transfer Type 2 являются псевдо-случайными функциями для генерации случайных значений.
Имя | Номер | Документ | Статус |
Резерв | 0 | ||
PRF_HMAC_MD5 | 1 | [RFC2104] | MAY |
PRF_HMAC_SHA1 | 2 | [RFC2104] | MUST |
PRF_AES128_CBC | 4 | [AESPRF] | SHOULD+ |
3.1.5. Алгоритмы преобразования IKEv2 типа 3
Алгоритмы Transfer Type 3 служат для обеспечения целостности и защищают данные от подделки.
Имя | Номер | Документ | Статус |
NONE | 0 | ||
AUTH_HMAC_MD5_96 | 1 | [RFC2403] | MAY |
AUTH_HMAC_SHA1_96 | 2 | [RFC2404] | MUST |
AUTH_AES_XCBC_96 | 5 | [AES-MAC] | SHOULD+ |