Descrizione del supporto per gli algoritmi di crittografia Suite B aggiunti a IPsec
Questo articolo descrive il supporto per gli algoritmi di crittografia Suite B aggiunti a IPsec.
Si applica a: Windows Server 2012 R2, Windows 7 Service Pack 1
Numero KB originale: 949856
Il supporto per Windows Vista Service Pack 1 (SP1) termina il 12 luglio 2011. Per continuare a ricevere gli aggiornamenti della sicurezza per Windows, assicurarsi di eseguire Windows Vista con Service Pack 2 (SP2). Per altre informazioni, vedere Il supporto termina per alcune versioni di Windows.
Introduzione
Questo articolo descrive il supporto per gli algoritmi di crittografia Suite B aggiunti in Windows Vista Service Pack 1 (SP1) e in Windows Server 2008. Suite B è un gruppo di algoritmi crittografici approvati dalla Stati Uniti National Security Agency (NSA).
Suite B viene usata come framework di crittografia interoperativo per la protezione dei dati sensibili. Il supporto è stato esteso agli algoritmi Suite B per le aree seguenti:
- Modalità principale
- Modalità rapida
- Impostazioni di autenticazione
Questo articolo descrive anche la sintassi di configurazione dei criteri IPsec (Internet Protocol Security) che usa algoritmi Suite B.
Nota
Questo contenuto sostituisce alcuni contenuti pubblicati su algoritmi e metodi IPsec archiviati supportati in Windows.
Ulteriori informazioni
Limitazioni del supporto
Le limitazioni di supporto per la suite B includono quanto segue:
- La creazione e l'applicazione dei criteri IPsec tramite algoritmi Suite B è supportata solo in Windows Vista Service Pack 1 (SP1), in Windows Server 2008 o nelle versioni successive di Windows.
- La creazione di criteri che contengono algoritmi Suite B è supportata tramite lo snap-in "Windows Firewall con sicurezza avanzata" di Microsoft Management Console (MMC) per Windows 7 e per le versioni successive di Windows.
- Il comando netsh advfirewall help non visualizza le opzioni di configurazione per gli algoritmi suite B. Questo vale solo per Windows Vista SP1.
Definizioni
- Suite B
Suite B è un set di standard specificati dalla National Security Agency (NSA). Suite B offre al settore un set comune di algoritmi di crittografia che possono essere usati per creare prodotti che soddisfino la più ampia gamma di esigenze del governo degli Stati Uniti. Suite B include la specifica dei tipi di algoritmi seguenti:
- Integrità
- Crittografia
- Scambio di chiavi
- Firma digitale
- Federal Information Processing Standards (FIPS)
FIPS è un set di linee guida e standard che regolano le risorse di calcolo federali. Tutti gli algoritmi Suite B sono approvati da FIPS.
Per altre informazioni, vedere Information Technology Laboratory.
NIST
Questo è un acronimo per il National Institute of Standards and Technology.
Algoritmi di integrità dei dati
Gli algoritmi di integrità dei dati usano gli hash dei messaggi per assicurarsi che le informazioni non vengano modificate mentre sono in transito.
Algoritmi di crittografia dei dati
Gli algoritmi di crittografia dei dati vengono usati per nascondere le informazioni trasmesse. Gli algoritmi di crittografia vengono usati per convertire il testo normale in un codice segreto.
Ad esempio, gli algoritmi di crittografia possono convertire testo normale in testo crittografato. Il testo crittografato può quindi essere decodificato nel testo normale originale. Ogni algoritmo usa una "chiave" per eseguire la conversione. Il tipo di chiave e la lunghezza della chiave dipendono dall'algoritmo in uso.
IPsec
Si tratta di un'abbreviazione del termine "Internet Protocol security".
Per altre informazioni su IPsec, vedere Che cos'è IPSec?
Algoritmo ECDSA (Elliptic Curve Digital Signature Algorithm)
La curva ellittica (EC) è una variante dell'algoritmo di firma digitale che opera sui gruppi EC. La variante EC offre dimensioni di chiave più piccole per lo stesso livello di sicurezza.
Questo algoritmo è descritto nella pubblicazione FIPS 186-2. Per visualizzare questa pubblicazione, vedere Digital Signature Standard (DSS).To view this publication, see Digital Signature Standard (DSS).
Autorità di certificazione (CA)
Un'autorità di certificazione è un'entità che rilascia certificati digitali. IPsec può usare questi certificati come metodo di autenticazione.
Intestazione di autenticazione (AH)
Authentication Header è un protocollo IPsec che fornisce funzionalità di autenticazione, integrità e anti-riproduzione per l'intero pacchetto. Sono inclusi l'intestazione IP e il payload dei dati.
Ah non fornisce riservatezza. Ciò significa che AH non crittografa i dati. I dati sono leggibili, ma non possono essere scritturati.
Incapsulamento del payload di sicurezza (ESP)
ESP è un protocollo IPsec che fornisce funzionalità di riservatezza, autenticazione, integrità e anti-riproduzione. L'ESP può essere usato da solo oppure può essere usato insieme a AH.
Algoritmi in modalità principale
In Windows Vista SP1 e in Windows Server 2008 sono supportati gli algoritmi di integrità seguenti oltre a quelli già supportati nella versione di rilascio di Windows Vista:
- SHA-256
- SHA-384
Nota
L'algoritmo di scambio di chiavi e l'algoritmo di crittografia non vengono modificati.
Algoritmi in modalità rapida
In Windows Vista SP1 e in Windows Server 2008 sono supportati gli algoritmi seguenti oltre a quelli già supportati nella versione di rilascio di Windows Vista.
Integrità (AH o ESP)
- SHA-256
- AES-GMAC-128
- AES-GMAC-192
- AES-GMAC-256
Integrità e crittografia (solo ESP)
- AES-GCM-128
- AES-GCM-192
- AES-GCM-256
Per altre informazioni sulle combinazioni AH e ESP supportate e non supportate, vedere la sezione "Combinazioni di algoritmi di crittografia in modalità rapida supportate e non supportate".
Restrizioni per la modalità rapida
- Lo stesso algoritmo di integrità deve essere usato sia per AH che per ESP.
- Gli algoritmi AES-GMAC sono disponibili per un algoritmo di integrità con crittografia Null. Pertanto, se uno di questi algoritmi viene specificato per l'integrità ESP, non è possibile specificare l'algoritmo di crittografia.
- Se si usa un algoritmo AES-GCM, è necessario specificare lo stesso algoritmo sia per l'integrità esp che per la crittografia.
Autenticazione
In Windows Vista SP1 e in Windows Server 2008 sono supportati i metodi di autenticazione seguenti oltre a quelli già supportati nella versione di versione di Windows Vista.
- Certificato computer con firma ECDSA-P256
- Certificato computer con firma ECDSA-P384>
Nota
Il metodo di autenticazione predefinito per Windows Vista è l'autenticazione RSA SecurId.
Sintassi ed esempi
Questa sezione descrive la sintassi per l'uso del comando Netsh advfirewall per aggiungere e modificare le regole di sicurezza della connessione. Questa sezione fornisce anche esempi di comandi Netsh advfirewall.
Aggiungere una regola di sicurezza della connessione
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Esempio 1
Si consideri l'esempio seguente di un comando Netsh advfirewall:
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256" auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority'" auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority'" auth1ecdsap256healthcert=yes qmsecmethods=ah: aesgmac256+esp:aesgmac256-none
Questo comando crea una regola di sicurezza della connessione con i metodi di autenticazione seguenti nel set di autenticazione:
- Il primo metodo di autenticazione è un certificato che usa la firma del certificato RSA.
- Il secondo metodo di autenticazione è un certificato di integrità che usa ECDSA256 per la firma del certificato.
- La regola di sicurezza della connessione protegge il traffico usando l'integrità AH ed ESP con il nuovo algoritmo AES-GMAC 256. La regola non include la crittografia.
Esempio 2
Si consideri l'esempio seguente di un comando Netsh advfirewall:
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption" auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority'" auth1healthcert=no qmsecmethods=ah:sha256+esp:sha256-aes192
Questo comando crea una regola di sicurezza della connessione con un metodo di autenticazione nel set di autenticazione. Il metodo di autenticazione è un certificato che usa la firma del certificato RSA.
La regola di sicurezza della connessione protegge il traffico usando l'integrità AH ed ESP con SHA256 per l'integrità e con AES192 per la crittografia.
Modificare una regola di sicurezza della connessione esistente
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Di seguito è riportato un esempio di comando che aggiorna la regola creata in "Esempio 1" nella sezione precedente: Netsh advfirewall consec set rule name=test new qmsecmethods=ah:aesgmac256+. esp:aesgcm256-aesgcm256 Questo comando aggiorna la regola per usare AES-GCM 256 per l'integrità e la crittografia ESP e per usare AES-GMAC 256 per l'integrità AH.
Impostare le impostazioni globali in modalità main
Il testo della Guida seguente è relativo al comando globale netsh advfirewall set.
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Di seguito è riportato un esempio di comando che usa i nuovi algoritmi SHA nel set di crittografia in modalità main: Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384
Comandi di risoluzione dei problemi, configurazione e verifica
Comando "Netsh advfirewall consec show rule all"
Il comando Netsh advfirewall consec show rule all visualizza la configurazione per tutte le regole di sicurezza della connessione.
Di seguito è riportato un esempio di output per questo comando.
Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
Comando "Netsh advfirewall monitor show mmsa"
Il comando netsh advfirewall monitor show mmsa visualizza l'associazione di sicurezza in modalità principale.
Di seguito è riportato un esempio di output per questo comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.
Comando "Netsh advfirewall monitor show qmsa"
Il comando netsh advfirewall monitor show qmsa visualizza l'associazione di sicurezza in modalità rapida.
Di seguito è riportato un esempio di output per questo comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
Comando "Netsh advfirewall show global"
Il comando netsh advfirewall show global visualizza le impostazioni globali.
Di seguito è riportato un esempio di output per questo comando.
Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTPEnable
StatefulPPTPEnable
Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Interoperabilità
La creazione, l'imposizione e la gestione dei criteri IPsec che usano algoritmi Suite B sono stati introdotti in Windows Vista SP1 e in Windows Server 2008. È possibile gestire un Criteri di gruppo che contiene algoritmi Suite B solo usando gli strumenti rilasciati con Windows Vista SP1 o Windows Server 2008.
Gli scenari di esempio e i risultati previsti sono i seguenti.
Scenario 1
I nuovi algoritmi di crittografia vengono usati per applicare un criterio creato in un computer che esegue Windows Server 2008 o Windows Vista SP1 a un computer che esegue la versione di rilascio di Windows Vista.
Risultato previsto
Se una regola contiene suite di crittografia che usano i nuovi algoritmi di crittografia, questi gruppi di crittografia vengono eliminati e vengono usati altri gruppi di crittografia nel set di crittografia.
Se nessuno dei gruppi di crittografia nella regola viene riconosciuto, l'intera regola viene eliminata. Viene registrato un evento che indica che la regola non può essere elaborata. Pertanto, se vengono eliminate tutte le suite di crittografia nel set di crittografia dello scambio di chiavi, non vengono applicate nessuna delle regole di sicurezza della connessione nei criteri. Tuttavia, tutte le regole del firewall vengono ancora applicate.
Il processo del set di autenticazione è simile al processo del set di crittografia. Se un criterio che contiene i nuovi flag di certificato (ECDSA-P256 o ECDSA-P384) viene applicato a un computer che esegue la versione di rilascio di Windows Vista, i metodi di autenticazione vengono eliminati.
Se tutti i metodi di autenticazione nel primo set di autenticazione vengono eliminati per questo motivo, l'intera regola non viene elaborata. Se tutti i metodi di autenticazione nel secondo set di autenticazione vengono eliminati, la regola viene elaborata usando solo il primo set di autenticazione.
Scenario 2
In un computer che esegue la versione di rilascio di Windows Vista, si usano i nuovi algoritmi di crittografia per visualizzare i criteri creati in un computer che esegue Windows Server 2008 o Windows Vista SP1.
Risultato previsto
I nuovi algoritmi vengono visualizzati come "sconosciuti" sia nelle parti di monitoraggio che di creazione dello snap-in MMC sicurezza avanzata di Windows Firewall. Il comando Netsh advfirewall visualizza anche gli algoritmi come "sconosciuti" in Windows Vista.
Restrizioni sull'interoperabilità
Le restrizioni sull'interoperabilità sono le seguenti:
- Non è supportata la gestione remota dei criteri che usano algoritmi Suite B nei computer che eseguono Windows Vista SP1 o Windows Server 2008 da un computer che esegue la versione di rilascio di Windows Vista.
- Quando un criterio creato in un computer che esegue Windows Vista SP1 o Windows Server 2008 viene importato in un computer che esegue la versione di rilascio di Windows Vista, alcune parti del criterio vengono eliminate. Ciò si verifica perché la versione di rilascio di Windows Vista non è in grado di riconoscere i nuovi algoritmi.
Combinazioni di algoritmi di crittografia in modalità rapida supportate e non supportate
La tabella seguente illustra le combinazioni di algoritmi di crittografia in modalità rapida supportate.
Protocollo | Integrità AH | Integrità ESP | Crittografia |
---|---|---|---|
AH | AES-GMAC 128 | Nessuno | Nessuno |
AH | AES-GMAC 192 | Nessuno | Nessuno |
AH | AES-GMAC 256 | Nessuno | Nessuno |
AH | SHA256 | Nessuno | Nessuno |
AH | SHA1 | Nessuno | Nessuno |
AH | MD5 | Nessuno | Nessuno |
ESP | Nessuno | AES-GMAC 128 | Nessuno |
ESP | Nessuno | AES-GMAC 192 | Nessuno |
ESP | Nessuno | AES-GMAC 256 | Nessuno |
ESP | Nessuno | SHA256 | Nessuno |
ESP | Nessuno | SHA1 | Nessuno |
ESP | Nessuno | MD5 | Nessuno |
ESP | Nessuno | SHA256 | Qualsiasi algoritmo di crittografia supportato tranne gli algoritmi AES-GCM |
ESP | Nessuno | SHA1 | Qualsiasi algoritmo di crittografia supportato tranne gli algoritmi AES-GCM |
ESP | Nessuno | MD5 | Qualsiasi algoritmo di crittografia supportato tranne gli algoritmi AES-GCM |
ESP | Nessuno | AES-GCM 128 | AES-GCM 128 |
ESP | Nessuno | AES-GCM 192 | AES-GCM 192 |
ESP | Nessuno | AES-GCM 256 | AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Nessuno |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Nessuno |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Nessuno |
AH+ESP | SHA-256 | SHA-256 | Nessuno |
AH+ESP | SHA1 | SHA1 | Nessuno |
AH+ESP | MD5 | MD5 | Nessuno |
AH+ESP | SHA256 | SHA256 | Qualsiasi algoritmo di crittografia supportato tranne gli algoritmi AES-GCM |
AH+ESP | SHA1 | SHA1 | Qualsiasi algoritmo di crittografia supportato tranne gli algoritmi AES-GCM |
AH+ESP | MD5 | MD5 | Qualsiasi algoritmo di crittografia supportato tranne gli algoritmi AES-GCM |
AH+ESP | AES-GMAC 128 | AES-GCM 128 | AES-GCM 128 |
AH+ESP | AES-GMAC 192 | AES-GCM 192 | AES-GCM 192 |
AH+ESP | AES-GMAC 256 | AES-GCM 256 | AES-GCM 256 |
Nota
AES-GMAC è lo stesso di AES-GCM con crittografia Null. Ad esempio, è possibile specificare l'integrità AH per usare AES-GMAC 128 ed è possibile specificare l'integrità ESP per usare AES-GCM 128. Si tratta dell'unica eccezione alla regola che gli algoritmi di integrità AH e ESP devono essere identici.
Le combinazioni descritte nella tabella seguente non sono supportate.
Protocollo | Integrità AH | Integrità ESP | Crittografia |
---|---|---|---|
ESP | Nessuno | AES-GMAC 128 | Qualsiasi algoritmo di crittografia supportato |
ESP | Nessuno | AES-GMAC 192 | Qualsiasi algoritmo di crittografia supportato |
ESP | Nessuno | AES-GMAC 256 | Qualsiasi algoritmo di crittografia supportato |
ESP | Nessuno | AES-GCM 128 | 1.Nessuno 2.Qualsiasi algoritmo di crittografia ad eccezione di AES-GCM 128 |
ESP | Nessuno | AES-GCM 192 | 1.Nessuno 2.Qualsiasi algoritmo di crittografia ad eccezione di AES-GCM 192 |
ESP | Nessuno | AES-GCM 256 | 1.Nessuno 2.Qualsiasi algoritmo di crittografia ad eccezione di AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Qualsiasi algoritmo di crittografia supportato |
AH+ESP | AES-GMAC 192 | AES-GMAC 192 | Qualsiasi algoritmo di crittografia supportato |
AH+ESP | AES-GMAC 256 | AES-GMAC 256 | Qualsiasi algoritmo di crittografia supportato |
Per altre informazioni sulla Suite B, vedere Commercial National Security Algorithm Suite.
Per altre informazioni su IPSec e le regole di sicurezza della connessione, vedere Windows Firewall con sicurezza avanzata e IPSec.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per