2.2. Набор VPN-B
Этот набор соответствует системам VPN, которые будут наиболее массово применяться в ближайшие несколько лет после публикации этого документа.
IPsec:
Протокол: | ESP [RFC2406] |
Шифрование ESP: | AES со 128-битовыми ключами в режиме CBC [AES-CBC] |
Целостность ESP: | AES-XCBC-MAC-96 [AES-XCBC-MAC] |
IKE и IKEv2:
Шифрование: | AES со 128-битовыми ключами в режиме CBC [AES-CBC] |
Псевдослучайная функция: | AES-XCBC-PRF-128 [AES-XCBC-PRF-128] |
Целостность: | AES-XCBC-MAC-96 [AES-XCBC-MAC] |
Группа Diffie-Hellman: | 2048-bit MODP [RFC3526] |
Функции Rekeying of Phase 2 (для IKE) или CREATE_CHILD_SA (для IKEv2) должны поддерживаться обеими частями этого набора. Инициатор этого обмена может включать новый ключ Diffie-Hellman. Если ключ включен, он должен представлять собой 2048-битовую группу MODP. Если инициатор обмена включает ключ Diffie-Hellman, отвечающая сторона (responder) должна включить ключ Diffie-Hellman и этот ключ должен быть 2048-битовой группой MODP.
2.3. Время жизни для IKEv1
IKEv1 имеет два параметра защиты, которые отсутствуют в IKEv2, а именно — время жизни ассоциаций SA для фазы 1 и фазы 2. Системы, использующие IKEv1 с наборами VPN-A или VPN-B, должны задавать для времени жизни SA значение 86400 секунд (1 сутки) для фазы 1 и 28800 секунд (8 часов) для фазы 2.