2.7. Cryptographic Algorithm Negotiation (Negoziazione degli algoritmi crittografici)

2.7. Cryptographic Algorithm Negotiation (Negoziazione degli algoritmi crittografici)

Il tipo di payload « SA » indica una proposta di insiemi di protocolli IPsec (IKE, ESP o AH) per la SA e algoritmi crittografici associati.

Un payload SA consiste in una o più proposte. Ogni proposta include un protocollo. Ogni protocollo contiene una o più transform, ciascuna specifica un algoritmo. Ogni transform contiene zero o più attributi (necessari solo se l'ID transform non specifica completamente l'algoritmo).

Questa struttura gerarchica codifica efficientemente molte suite. Il risponditore DEVE scegliere una sola suite, eventualmente sottoinsieme della proposta secondo le regole seguenti.

Ogni proposta contiene un protocollo. Se accettata, la risposta SA DEVE contenere lo stesso protocollo. Il risponditore DEVE accettare una singola proposta o rifiutarle tutte con errore NO_PROPOSAL_CHOSEN.

Ogni proposta di protocollo IPsec contiene una o più transform con Transform Type. La suite accettata DEVE contenere esattamente una transform di ogni tipo incluso nella proposta. Esempio: proposta ESP con ENCR_3DES, ENCR_AES 128, ENCR_AES 256, AUTH_HMAC_MD5, AUTH_HMAC_SHA → una transform ENCR_ e una AUTH_, sei combinazioni accettabili.

Se l'iniziatore propone sia cifrari normali con integrità sia cifrari a modo combinato, servono due proposte: una con integrità per i normali, una con tutti i combinati senza integrità (i combinati ammettono solo « NONE » per integrità).