2.7. Cryptographic Algorithm Negotiation
2.7. Cryptographic Algorithm Negotiation
Le type de charge « SA » propose un ensemble de choix de protocoles IPsec (IKE, ESP ou AH) pour la SA ainsi que les algorithmes associés.
Une charge SA comporte une ou plusieurs propositions. Chaque proposition inclut un protocole. Chaque protocole contient une ou plusieurs transformations, chacune spécifiant un algorithme. Chaque transformation contient zéro ou plusieurs attributs (nécessaires seulement si l'ID de transformation ne fixe pas entièrement l'algorithme).
Cette hiérarchie encode efficacement de grandes familles de suites lorsque plusieurs valeurs sont acceptables pour plusieurs transformations. Le répondant DOIT choisir une seule suite, sous-ensemble possible de la proposition selon les règles ci-dessous.
Chaque proposition contient un protocole. Si elle est acceptée, la réponse SA DOIT contenir le même protocole. Le répondant DOIT accepter une seule proposition ou toutes les rejeter avec une erreur de type NO_PROPOSAL_CHOSEN.
Chaque proposition de protocole IPsec contient une ou plusieurs transformations avec un type de transformation. La suite acceptée DOIT contenir exactement une transformation de chaque type présent dans la proposition. Exemple : si une proposition ESP inclut ENCR_3DES, ENCR_AES (128), ENCR_AES (256), AUTH_HMAC_MD5 et AUTH_HMAC_SHA, la suite retenue contient une transformation ENCR_ et une AUTH_ — six combinaisons possibles.
Si l'initiateur propose à la fois des chiffres classiques avec intégrité et des chiffres en mode combiné, il faut deux propositions : l'une avec intégrité pour les classiques, l'autre avec tous les modes combinés sans algorithme d'intégrité (les modes combinés n'autorisent que « NONE » hors intégrité).