Limites de prise en charge
Limitations de prise en charge pour la Suite B sont les suivantes :
- La création et application de stratégie IPsec en utilisant des algorithmes Suite B est pris en charge uniquement dans Windows Vista Service Pack 1 (SP1), dans Windows Server 2008 ou dans les versions ultérieures de Windows.
- La création de stratégies qui contiennent les algorithmes Suite B est pris en charge par le composant logiciel enfichable «Pare-feu Windows avec fonctions avancées de sécurité» Console (MMC) pour Windows 7 et pour les versions ultérieures de Windows.
- La commande Netsh advfirewall help n'affiche pas options de configuration pour les algorithmes Suite B. Cela s'applique uniquement à Windows Vista SP1.
Définitions
- Suite B
Suite B est un ensemble de normes qui sont spécifiés par la National Security Agency (NSA). Suite B fournit le secteur à un ensemble commun d'algorithmes de chiffrement qui peut être utilisé pour créer des produits répondant à la plage plus large de besoins gouvernement américain. Suite B inclut la spécification de types d'algorithmes suivants : - Intégrité
- Cryptage
- Échange de clés
- Signature numérique
- Federal Information Processing Standards (FIPS)
FIPS est un ensemble de directives et normes qui régissent les ressources informatiques fédérales. Tous les algorithmes Suite B sont FIPS.
Pour plus d'informations, reportez-vous au site Web suivant : - NIST
Ceci est un acronyme for le National Institute of Standards and Technology. - algorithmes d'intégrité de données
Algorithmes d'intégrité de données utilisez hachages de message pour vous assurer que plus d'informations ne sont pas en cours modifiées lorsqu'il est en transit. - algorithmes de cryptage de données
Algorithmes de cryptage de données sont utilisés pour masquer les informations qui sont transmises. Les algorithmes de cryptage sont utilisés pour convertir le texte brut en un code secret.
Par exemple, les algorithmes de cryptage peuvent convertir en texte brut en texte chiffré. Le texte chiffré peut être décodé puis le texte brut d'origine. Chaque algorithme utilise une «clé» pour effectuer la conversion. Le type de clé et la longueur de la clé dépendent de l'algorithme qui est utilisé. - IPsec
Ceci est une abréviation pour le terme «Sécurité IP».
Pour plus d'informations sur IPsec, site Web Microsoft suivant : - Advanced Encryption Standard Galois Message Authentication Code (AES-GMAC)
Cet algorithme est décrit dans NIST Special Publication 800-38 D. Pour afficher ce document, site suivant Web : - norme de cryptage avancée mode Galois/compteur (AES-CGM)
Cet algorithme est décrit dans NIST Special Publication 800-38 D. Pour afficher ce document, site suivant Web : - courbe elliptique Digital Signature Algorithm (ECDSA)
Courbe elliptique (EC) est une variante de l'algorithme de signature numérique qui fonctionne sur les groupes de l'UE. La variante EC fournit plus petites tailles de clé pour le même niveau de sécurité.
Cet algorithme est décrit dans composition FIPS 186-2. Pour afficher cette publication, site suivant Web : - Autorité de certification (CA, certification authority)
Une autorité de certification est une entité qui émet des certificats numériques. IPsec peut utiliser ces certificats comme méthode d'authentification. - le protocole AH (Authentication Header)
En-tête d'authentification est un protocole IPsec assure l'authentification, l'intégrité et la fonctionnalité anti-replay de l'ensemble du paquet. Cela inclut l'en-tête IP et la charge de données.
AH ne fournit pas la confidentialité. Cela signifie que AH ne crypte pas les données. Les données sont lisibles, mais il est impossible d'écrire sur. - Encapsulation Security Payload (ESP)
ESP est un protocole IPsec assure la confidentialité, l'authentification, l'intégrité et fonctionnalités anti-replay. ESP peut être utilisé seul, ou il peut être utilisé avec AH.
Algorithmes de mode principal
Dans Windows Vista SP1 et Windows Server 2008, les algorithmes d'intégrité suivants sont pris en charge parallèlement à ces algorithmes qui sont déjà pris en charge dans la version de Windows Vista :
Remarque L'algorithme d'échange de clés et l'algorithme de cryptage ne sont pas modifiés.
Algorithmes de mode rapide
Dans Windows Vista SP1 et Windows Server 2008, les algorithmes suivants sont prises en charge en plus les algorithmes qui sont déjà pris en charge dans la version de Windows Vista.
Intégrité (AH ou ESP)
- SHA-256
- AES-GMAC-128
- AES-GMAC-192
- AES-GMAC-256
Intégrité et chiffrement (ESP uniquement)
- AES-GCM-128
- AES-GCM-192
- AES-GCM-256
Pour plus d'informations sur AH et ESP combinaisons qui sont pris en charge et non prises en charge, consultez les «Quick-mode algorithme de chiffrement combinaisons qui sont pris en charge et non prises en charge «section.
Restrictions de mode rapide
- Le même algorithme d'intégrité doit être utilisée pour AH et ESP.
- Les algorithmes GMAC AES sont disponibles pour un algorithme d'intégrité a chiffrement null. Par conséquent, si un de ces algorithmes sont spécifié pour l'intégrité ESP, l'algorithme de cryptage ne peut pas être spécifié.
- Si vous utilisez un algorithme AES CGM, le même algorithme doit être spécifié pour l'intégrité ESP et le cryptage.
Authentification
Dans Windows Vista SP1 et Windows Server 2008, les méthodes d'authentification suivantes sont prises en charge en plus ces méthodes d'authentification qui sont déjà prises en charge dans la version de Windows Vista.
- Certificat d'ordinateur avec la signature ECDSA P256
- Certificat d'ordinateur avec la signature ECDSA P384
Remarque La méthode d'authentification par défaut pour Windows Vista est l'authentification RSA SecurId.
Syntaxe et exemples
Cette section décrit la syntaxe de la commande
Netsh advfirewall pour ajouter et modifier les règles de sécurité de connexion. Cette section fournit également des exemples de commandes
Netsh advfirewall .
Ajouter une règle de sécurité de connexion
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').Exemple 1
Prenons l'exemple suivant d'une commande
Netsh advfirewall :
Netsh advfirewall consec add rule name = test1 endpoint1 = n'importe quel endpoint2 = n'importe quelle action = requestinrequestout description = respectez utiliser ECDSA256 certificat et AESGMAC256 respectez auth1 = computercert, computercertecdsap256 auth1ca = respectez C = US, O = MSFT, CN = \ 'Nord Microsoft, est, Sud et Ouest racine Authority\ ? respectez auth1healthcert ne = aucun auth1ecdsap256ca = respectez C = US, O = MSFT, CN = \ 'Nord Microsoft, est, Sud et Ouest racine Authority\ ? respectez auth1ecdsap256healthcert = Oui qmsecmethods = ah : aesgmac256 + esp:aesgmac256-aucun
Cette commande crée une règle de sécurité de connexion qui possède les méthodes d'authentification suivantes dans l'authentification définie :
- La première méthode d'authentification est un certificat qui utilise la signature du certificat RSA.
- La deuxième méthode d'authentification est un certificat d'état par ECDSA256 pour la signature du certificat.
La règle de sécurité de connexion protège le trafic en utilisant l'intégrité AH et ESP avec le nouvel algorithme GMAC AES 256. La règle n'inclut pas cryptage.
Exemple 2
Prenons l'exemple suivant d'une commande
Netsh advfirewall :
Netsh advfirewall consec add rule name = test2 endpoint1 = n'importe quel endpoint2 = n'importe quelle action = requestinrequestout description = auth1 respectez utiliser SHA 256 pour intégrité respectez et AES192 pour le cryptage = computercert auth1ca = respectez C = US, O = MSFT, CN = \ 'Nord Microsoft, est, Sud et Ouest racine Authority\ ? respectez auth1healthcert ne = aucun qmsecmethods = ah : sha256 + esp:sha256-aes192
Cette commande crée une règle de sécurité de connexion qui possède une méthode d'authentification dans l'authentification définie. La méthode d'authentification est un certificat qui utilise la signature du certificat RSA.
La règle de sécurité de connexion protège le trafic en utilisant l'intégrité AH et ESP avec SHA256 pour l'intégrité et AES192 pour le cryptage.
Modifier une règle de sécurité connexion existante
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Voici un exemple d'une commande qui met à jour la règle créée dans «Exemple 1» dans la section précédente :
Netsh advfirewall consec définir nom de règle = test nouveau qmsecmethods = ah : aesgmac256 + esp:aesgcm256-aesgcm256
Cette commande met à jour la règle à utiliser CGM AES 256 pour cryptage et intégrité ESP et destiné à GMAC AES 256 intégrité AH.
Définir les paramètres mode principal globales
Le texte d'aide suivant est de la commande
Netsh advfirewall set global .
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked (default)
2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista. Voici un exemple d'une commande qui utilise les nouveaux algorithmes SHA dans le jeu de chiffrement de mode principal :
Netsh advfirewall définie global mainmode mmsecmethods dhgroup1:3des-sha256, sha384 3des
Commandes de dépannage, configuration et vérification
La commande «Netsh advfirewall consec show règle tout»
La commande
Netsh advfirewall consec show rule tout affiche la configuration pour toutes les règles de sécurité de connexion.
Voici un exemple de sortie pour cette commande.
Rule Name: test
Enabled: Yes
Profiles: Domain,Private,Public
Type: Static
Mode: Transport
Endpoint1: Any
Endpoint2: Any
Protocol: Any
Action: RequestInRequestOut
Auth1: ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethods AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
La commande «Netsh advfirewall monitor show mmsa»
La commande
Netsh advfirewall moniteur show mmsa affiche l'association de sécurité en mode principal.
Voici un exemple de sortie pour cette commande.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth: ComputerPSK
Second Auth: None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair: 203d57505:5d088705
Health Pair: No
Ok.
La commande «Netsh advfirewall moniteur afficher qmsa»
La commande
Netsh advfirewall moniteur show qmsa affiche l'association de sécurité en mode rapide.
Voici un exemple de sortie pour cette commande.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address: 157.59.24.101
Remote IP Address: 157.59.24.119
Local Port: Any
Remote Port: Any
Protocol: Any
Direction: Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
La commande «Netsh advfirewall show global»
La commande
Netsh advfirewall show global affiche les paramètres globaux.
Voici un exemple de sortie pour cette commande.
Global Settings:
IPsec:
StrongCRLCheck 0:Disabled
SAIdleTimeMin 5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTP Enable
StatefulPPTP Enable
Main Mode:
KeyLifetime 2min,0sess
SecMethods DHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Interopérabilité
Création, mise en ?uvre et la gestion de la stratégie IPsec qui utilise les algorithmes Suite B a été introduit dans Windows Vista SP1 et dans Windows Server 2008. Vous pouvez gérer une stratégie de groupe qui contient les algorithmes Suite B uniquement en utilisant outils qui ont été publiés avec Windows Vista SP1 ou Windows Server 2008.
Exemples de scénarios et les résultats attendus sont les suivants.
Scénario 1
Vous utilisez les nouveaux algorithmes cryptographiques pour appliquer une stratégie qui est créée sur un ordinateur qui exécute Windows Server 2008 ou Windows Vista SP1 sur un ordinateur qui exécute la version de Windows Vista.
Résultat attendu
Si une règle contient des suites de chiffrement qui utilisent les nouveaux algorithmes cryptographiques, ces suites de chiffrement sont perdus et autres suites de chiffrement dans le jeu de chiffrement sont utilisés à la place.
Si aucune des suites chiffrement dans la règle de sont reconnus, la règle entière est supprimée. Un événement est enregistré qui indique que la règle ne peut pas être traitée. Par conséquent, si toutes les suites du jeu de chiffrement échange de clés de chiffrement sont supprimées, aucune des règles des sécurité de connexion dans la stratégie sont appliqués. Toutefois, toutes les règles de pare-feu sont toujours appliqués.
Le processus de jeu d'authentification ressemble le processus de jeu de chiffrement. Si une stratégie qui contient les nouveaux indicateurs de certificat (ECDSA P256 ou ECDSA P384) sont appliqués à un ordinateur qui exécute la version de Windows Vista, les méthodes d'authentification sont supprimés.
Si toutes les méthodes d'authentification dans le premier jeu d'authentification sont supprimées pour cette raison, la règle d'ensemble n'est pas traitée. Si toutes les méthodes d'authentification dans le second jeu d'authentification sont supprimées, la règle est traitée à l'aide uniquement la première authentification définie.
Scénario 2
Sur un ordinateur qui exécute la version de Windows Vista, les nouveaux algorithmes de chiffrement vous permet de visualiser une stratégie qui a été créée sur un ordinateur qui exécute Windows Server 2008 ou Windows Vista SP1.
Résultat attendu
Les nouveaux algorithmes sont affichés comme ? inconnu respectez dans l'analyse et création de parties de la Windows pare-feu avancée sécurité enfichable. La commande
Netsh advfirewall affiche également les algorithmes comme ? inconnu respectez dans Windows Vista.
Restrictions sur l'interopérabilité
Restrictions sur l'interopérabilité sont les suivantes :
- Microsoft ne prend pas en charge gestion à distance des stratégies qui utilisent les algorithmes Suite B sur les ordinateurs Windows Vista SP1 ou Windows Server 2008 sur un ordinateur qui exécute la version de Windows Vista.
- Lorsqu'une stratégie qui est créée sur un ordinateur qui exécute Windows Vista SP1 ou Windows Server 2008 est importée vers un ordinateur qui exécute la version de Windows Vista, certaines parties de la stratégie sont supprimés. Cela se produit car la version de Windows Vista ne peut pas reconnaître les nouveaux algorithmes.
Combinaisons d'algorithme de chiffrement mode rapide qui sont pris en charge et ne pas pris en charge
Le tableau suivant présente pris en charge combinaisons d'algorithme de chiffrement mode rapide.
Réduire ce tableauAgrandir ce tableau
| Protocole | AH intégrité | Intégrité ESP | Cryptage |
|---|
| AH | AES-GMAC 128 | Aucun | Aucun |
| AH | AES-GMAC 192 | Aucun | Aucun |
| AH | AES-GMAC 256 | Aucun | Aucun |
| AH | SHA256 | Aucun | Aucun |
| AH | SHA1 | Aucun | Aucun |
| AH | MD5 | Aucun | Aucun |
| ESP | Aucun | AES-GMAC 128 | Aucun |
| ESP | Aucun | AES-GMAC 192 | Aucun |
| ESP | Aucun | AES-GMAC 256 | Aucun |
| ESP | Aucun | SHA256 | Aucun |
| ESP | Aucun | SHA1 | Aucun |
| ESP | Aucun | MD5 | Aucun |
| ESP | Aucun | SHA256 | N'importe quel algorithme de cryptage pris en charge à l'exception algorithmes AES CGM |
| ESP | Aucun | SHA1 | N'importe quel algorithme de cryptage pris en charge à l'exception algorithmes AES CGM |
| ESP | Aucun | MD5 | N'importe quel algorithme de cryptage pris en charge à l'exception algorithmes AES CGM |
| ESP | Aucun | AES-GCM 128 | AES-GCM 128 |
| ESP | Aucun | AES-GCM 192 | AES-GCM 192 |
| ESP | Aucun | AES-GCM 256 | AES-GCM 256 |
| AH + ESP | AES-GMAC 128 | AES-GMAC 128 | Aucun |
| AH + ESP | AES-GMAC 128 | AES-GMAC 128 | Aucun |
| AH + ESP | AES-GMAC 128 | AES-GMAC 128 | Aucun |
| AH + ESP | SHA-256 | SHA-256 | Aucun |
| AH + ESP | SHA1 | SHA1 | Aucun |
| AH + ESP | MD5 | MD5 | Aucun |
| AH + ESP | SHA256 | SHA256 | N'importe quel algorithme de cryptage pris en charge à l'exception algorithmes AES CGM |
| AH + ESP | SHA1 | SHA1 | N'importe quel algorithme de cryptage pris en charge à l'exception algorithmes AES CGM |
| AH + ESP | MD5 | MD5 | N'importe quel algorithme de cryptage pris en charge à l'exception algorithmes AES CGM |
| AH + ESP | AES-GMAC 128 | AES-GCM 128 | AES-GCM 128 |
| AH + ESP | AES-GMAC 192 | AES-GCM 192 | AES-GCM 192 |
| AH + ESP | AES-GMAC 256 | AES-GCM 256 | AES-GCM 256 |
AES-GMAC est identique à CGM AES avec chiffrement nul. Par exemple, vous pouvez spécifier l'intégrité AH pour utiliser GMAC AES 128 et vous pouvez spécifier intégrité ESP à utiliser CGM AES 128. Ceci est l'exception uniquement à la règle que les algorithmes d'intégrité AH et ESP doivent être identiques.
Impossible des combinaisons qui sont décrits dans le tableau suivant.
Réduire ce tableauAgrandir ce tableau
| Protocole | AH intégrité | Intégrité ESP | Cryptage |
|---|
| ESP | Aucun | AES-GMAC 128 | N'importe quel algorithme de cryptage pris en charge |
| ESP | Aucun | AES-GMAC 192 | N'importe quel algorithme de cryptage pris en charge |
| ESP | Aucun | AES-GMAC 256 | N'importe quel algorithme de cryptage pris en charge |
| ESP | Aucun | AES-GCM 128 | 1. Aucun
2. N'importe quel algorithme de cryptage à l'exception CGM AES 128 |
| ESP | Aucun | AES-GCM 192 | 1. Aucun
2. N'importe quel algorithme de cryptage à l'exception CGM AES 192 |
| ESP | Aucun | AES-GCM 256 | 1. Aucun
2. N'importe quel algorithme de cryptage à l'exception CGM AES 256 |
| AH + ESP | AES-GMAC 128 | AES-GMAC 128 | N'importe quel algorithme de cryptage pris en charge |
| AH + ESP | AES-GMAC 192 | AES-GMAC 192 | N'importe quel algorithme de cryptage pris en charge |
| AH + ESP | AES-GMAC 256 | AES-GMAC 256 | N'importe quel algorithme de cryptage pris en charge |
Pour plus d'informations sur la Suite B, site suivant Web :
Pour plus d'informations sur les règles de sécurité IPsec et de connexion, site Web Microsoft suivant :
Pour plus d'informations sur la cryptographie nouvelle génération dans Windows Server 2008, site Web Microsoft suivant :
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
949299
(http://support.microsoft.com/kb/949299/
)
Description du groupe Opérateurs de chiffrement sécurité ajouté à Windows Vista Service Pack 1 pour configurer en commun le pare-feu Windows pour IPsec en mode de critères
Retour au début
