2.7. Cryptographic Algorithm Negotiation (暗号アルゴリズムの交渉)
2.7. Cryptographic Algorithm Negotiation (暗号アルゴリズムの交渉)
"SA" 型のペイロードは, SA に対する IKE, ESP, AH のプロトコル選択肢の集合と各プロトコルに関連する暗号アルゴリズムの提案を示す.
SA ペイロードは 1 つ以上の proposal からなる. 各 proposal は 1 つの protocol を含む. 各 protocol は 1 つ以上の transform を含み, それぞれが暗号アルゴリズムを指定する. 各 transform は 0 個以上の attribute を含む (Transform ID がアルゴリズムを完全に指定しない場合のみ属性が必要).
この階層構造は, 複数の変換で複数の値が許容されサポートするスイート数が大きいときに, 暗号スイート提案を効率よく符号化するよう設計された. responder は下のルールに従う SA 提案の任意の部分集合でありうる単一スイートを選ばなければならない.
各 proposal は 1 つの protocol を含む. proposal が受理されれば SA レスポンスは同じ protocol を含まなければならない. responder は単一 proposal を受理するかすべて拒否してエラーを返さなければならない. エラーは NO_PROPOSAL_CHOSEN 通知で示される.
各 IPsec protocol proposal は 1 つ以上の transform を含む. 各 transform は Transform Type を含む. 受理された暗号スイートは proposal に含まれる各型についてちょうど 1 つの transform を含まなければならない. 例: ESP proposal が ENCR_3DES, 鍵長 128 の ENCR_AES, 鍵長 256 の ENCR_AES, AUTH_HMAC_MD5, AUTH_HMAC_SHA を含むなら, 受理スイートは ENCR_ の 1 つと AUTH_ の 1 つを含まなければならず, 6 通りが許容される.
initiator が完全性付き通常暗号と合成モード暗号の両方を提案する場合は 2 つの proposal が必要である. 1 つはそれらの完全性アルゴリズム付き通常暗号, もう 1 つは完全性アルゴリズムなしのすべての合成モード暗号 (合成モードは "NONE" 以外の完全性を持てない).