Programmation d'un VPN, authentification étape - RFC pas assez clair
https://stackoverflow.com/questions/2501087
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai une version personnalisée d'un système d'exploitation Unix.
Ma tâche. Ajout d'un IPSec à l'OS
Je travaille sur la phase I, fait envoyer les 2 premiers paquets.
Ce que je suis en train de faire est en train de faire le Payload d'identification. J'ai lu RFC 2409 (Apendix B) qui traitent les matériaux de clavetage (SKEYID, SKEYID_d , SKEYID_a, SKEYID_e et le IV de la prise de ).
Maintenant, j'utilise SHA-1 pour authontication et donc J'utilise HMAC-SHA1 et mon algorithme de chiffrement est AES-256. Le vrai problème est que le RFC ne suffit pas claire de ce que dois-je faire en ce qui concerne la PRF . Il dit:
"L'utilisation de PRFs négociés peuvent exiger la sortie PRF à être étendue en raison de le mécanisme de rétroaction de PRF employé par ce document. "
J'utilise SHA-1, cela signifie que je ne négocie pas PRF?
À mon avis, AES est le seul algorithme qui a besoin expention (une longueur fixe de 256 bits), alors, dois-je développer seulement le SKEYID_e?
Si vous connaissez une idée plus claire, bien que relible, source, puis le RFC s'il vous plaît poster un lien.
La solution
Vous ne pouvez pas négocier un PRF basée uniquement sur RFC2409, donc ne vous inquiétez pas à ce sujet. 3 Touche Triple-DES, AES-192 et AES-256 ont tous besoin l'algorithme de clé d'expansion à l'annexe B. De nombreuses implémentations ont ces derniers, tester si l'interopérabilité ne devrait pas être difficile.
Autres conseils
L'IETF RFCs ne sont souvent pas assez clair. Cependant, ils sont écrits dans le seul but de décrire l'interopérabilité afin de trouver une implémentation de référence soit explorer son code ou un test contre est presque indispensable. En effet, 2409 note spécifiquement:
Les auteurs encouragent la mise en œuvre indépendante, et les tests d'interopérabilité, de ce protocole hybride.
Trouver une autre mise en œuvre est ce que vous avez vraiment besoin; trouver la source de quelqu'un d'autre est mieux encore. A défaut, lire la bibliographie. Il a été dit que certains RFCs écrits par certaines entreprises intentionnellement occultent ou simplement cacher les informations nécessaires pour produire une mise en œuvre conforme afin de construire « avantage sur le marché ». Il n'y a pas de voie royale pour comprendre 2049.
