2.7. Cryptographic Algorithm Negotiation (Verhandlung kryptographischer Algorithmen)

2.7. Cryptographic Algorithm Negotiation (Verhandlung kryptographischer Algorithmen)

Der Payload-Typ „SA“ schlägt eine Menge von IPsec-Protokollen (IKE, ESP oder AH) für die SA sowie zugehörige kryptographische Algorithmen vor.

Ein SA-Payload besteht aus einem oder mehreren Vorschlägen. Jeder Vorschlag enthält ein Protokoll. Jedes Protokoll enthält eine oder mehrere Transforms, jede spezifiziert einen Algorithmus. Jede Transform enthält null oder mehr Attribute (nur nötig, wenn die Transform-ID den Algorithmus nicht vollständig festlegt).

Diese Hierarchie kodiert große Suiten effizient. Der Responder MUSS genau eine Suite wählen, die Teilmenge der SA-Vorschläge nach den untenstehenden Regeln sein kann.

Jeder Vorschlag enthält ein Protokoll. Wird ein Vorschlag akzeptiert, MUSS die SA-Antwort dasselbe Protokoll enthalten. Der Responder MUSS genau einen Vorschlag akzeptieren oder alle ablehnen; der Fehler ist NO_PROPOSAL_CHOSEN.

Jeder IPsec-Protokollvorschlag enthält eine oder mehrere Transforms mit Transform-Typ. Die akzeptierte Suite MUSS genau eine Transform jedes im Vorschlag enthaltenen Typs enthalten. Beispiel: ESP-Vorschlag mit ENCR_3DES, ENCR_AES 128, ENCR_AES 256, AUTH_HMAC_MD5, AUTH_HMAC_SHA → eine ENCR_- und eine AUTH_-Transform, sechs Kombinationen möglich.

Normale Chiffren mit Integrität und kombinierte Modi erfordern zwei Vorschläge: einer mit Integrität für normale Chiffren, einer mit allen kombinierten Modi ohne Integrität (kombinierte Modi nur mit „NONE“).