Programando uma VPN, estágio de autonticação - RFC não está claro o suficiente
https://stackoverflow.com/questions/2501087
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu tenho uma construção personalizada de um sistema operacional Unix.
Minha tarefa: adicionando um IPSEC para o sistema operacional.
Estou trabalhando na Fase I, fiz o envio dos 2 primeiros pacotes.
O que estou tentando fazer agora é fazer a carga útil de identificação. Eu tenho lido RFC 2409 (Apendice B) que discutem os materiais de chaves (SKEYID, SKEYID_D, SKEYID_A, SKEYID_E E O 4 fazer).
Agora eu uso SHA-1 Para autonticação e, portanto, eu uso o HMAC-SHA1 e meu algoritmo de criptografia é AES-256. O verdadeiro problema é que o RFC não está claro o suficiente do que devo fazer em relação ao Prf. Diz:
"Uso de PRFs negociados poderia Exige que a saída do PRF seja expandida devido ao mecanismo de feedback do PRF empregado por este documento ".
Eu uso o SHA-1, isso significa que não negocio um PRF?
Na minha opinião, o AES é o único algoritmo que precisa de Expetion (um comprimento fixo de 256 bits), então, preciso expandir apenas o SKEYID_E?
Se você conhece uma fonte mais clara, embora confiável,, então a RFC poste um link.
Solução
Você não pode negociar um PRF baseado apenas no RFC2409, então não se preocupe com isso. 3 Triple-DE-chave, AES-192 e AES-256 exigem o algoritmo de expansão-chave no Apêndice B. Muitas implementações têm elas, portanto, testar a interoperabilidade não deve ser tão difícil.
Outras dicas
Os RFCs IETF geralmente não são claros o suficiente. No entanto, eles são escritos com o único objetivo de descrever a interoperabilidade, portanto, encontrar uma implementação de referência para explorar seu código ou teste contra é quase essencial. De fato, 2409 observa especificamente:
Os autores incentivam a implementação independente e o teste de interoperabilidade deste protocolo híbrido.
Encontrar outra implementação é o que você realmente precisa; Encontrar a fonte de outra pessoa ainda está melhor. Falhando nisso, leia a bibliografia. Foi dito que alguns RFCs escritos por algumas empresas offuscam ou simplesmente ocultam as informações necessárias para produzir uma implementação conformante para construir 'vantagem de mercado'. Não há caminho real para entender 2049.
