Description de la prise en charge des algorithmes cryptographiques de Suite B qui a été ajouté à IPsec dans Windows Vista Service Pack 1, Windows Server 2008 et dans Windows 7

Prise en charge de Windows Vista Service Pack 1 (SP1) prend fin le 12 juillet 2011. Pour continuer à recevoir des mises à jour de sécurité pour Windows, assurez-vous que vous exécutez Windows Vista avec Service Pack 2 (SP2). Pour plus d’informations, reportez-vous à cette page web de Microsoft : prise en charge se termine pour certaines versions de Windows.

INTRODUCTION

Cet article décrit la prise en charge des algorithmes cryptographiques de Suite B qui a été ajouté dans Windows Vista Service Pack 1 (SP1) et Windows Server 2008. Suite B est un groupe d’algorithmes de chiffrement qui sont approuvés par les États-Unis NSA National Security Agency ().

Suite B est utilisée comme une structure cryptographique interopérable pour protéger les données sensibles. Prise en charge a été étendue aux algorithmes Suite B pour les domaines suivants :
  • Mode principal
  • En mode rapide
  • Paramètres d’authentification
Cet article décrit également la syntaxe de configuration stratégie de Internet Protocol security (IPsec) qui utilise les algorithmes Suite B.

Plus d'informations

Limitations de la prise en charge

Limitations de la prise en charge de Suite B sont les suivants :
  • La création et la mise en œuvre de la stratégie IPsec à l’aide d’algorithmes Suite B est pris en charge uniquement dans Windows Vista Service Pack 1 (SP1), Windows Server 2008 ou dans les versions ultérieures de Windows.
  • La création de stratégies qui contiennent les algorithmes Suite B est pris en charge via le composant logiciel enfichable « Pare-feu Windows avec Advanced de sécurité » Microsoft Management Console (MMC) pour Windows 7 et les versions ultérieures de Windows.
  • La commande Netsh advfirewall help n’affiche pas les options de configuration pour les algorithmes Suite B. Cela s’applique uniquement à Windows Vista SP1.

Définitions de

  • Suite B

    Suite B est un ensemble de normes qui sont spécifiées par la NSA National Security Agency (). Suite B fournit l’industrie avec un jeu commun d’algorithmes de chiffrement qui peut être utilisé pour créer des produits qui répondent à la plus large gamme de besoins du gouvernement américain. Suite B comprend la spécification des types d’algorithmes suivants :
    • Intégrité
    • Cryptage
    • Échange de clés
    • Signature numérique
  • Normes de traitement des informations fédérale (FIPS)

    FIPS est un ensemble de directives et de normes qui régissent les ressources informatiques fédéraux. Tous les algorithmes Suite B sont approuvés par FIPS.

    Pour plus d’informations, visitez le site Web suivant :
  • NIST

    Il s’agit d’un acronyme pour le National Institute of Standards et la technologie.
  • Algorithmes d’intégrité de données

    Algorithmes d’intégrité de données utilisent des hachages de message pour vous assurer que des informations ne sont pas modifiées lorsqu’il est en transit.
  • Algorithmes de cryptage de données

    Les algorithmes de cryptage de données sont utilisées pour masquer des informations transmises. Les algorithmes de chiffrement sont utilisés pour convertir un code secret en texte brut.

    Par exemple, les algorithmes de cryptage peuvent convertir le texte brut à texte chiffré. Le texte chiffré peut être décodé puis le texte brut d’origine. Chaque algorithme utilise une « clé » pour effectuer la conversion. Le type de clé et de la longueur de la clé dépendent de l’algorithme qui est utilisé.
  • IPsec

    Il s’agit d’une abréviation du terme « Internet Protocol security ».

    Pour plus d’informations sur IPsec, visitez le site Web de Microsoft à l’adresse suivante :
  • Algorithme de Signature numérique de courbe elliptique ECDSA)

    Courbe elliptique (EC) est une variante de l’algorithme de signature numérique qui fonctionne sur les groupes EC. La variante EC fournit de plus petites tailles de clé pour le même niveau de sécurité.

    Cet algorithme est décrit dans la publication de FIPS 186-2. Pour afficher cette publication, reportez-vous au site Web suivant :
  • Autorité de certification (CA)

    Une autorité de certification est une entité qui émet des certificats numériques. IPsec peut utiliser ces certificats comme méthode d’authentification.
  • En-tête d’authentification (AH)

    En-tête d’authentification est un protocole IPsec fournit l’authentification, l’intégrité et fonctionnalités d’anti-relecture pour le paquet entier. Cela inclut l’en-tête IP et la charge utile des données.

    AH ne garantit pas la confidentialité. Cela signifie que AH ne crypte pas les données. Les données sont lisibles, mais il est impossible d’écrire sur.
  • Encapsulating Security Payload (ESP)

    ESP est un protocole IPsec qui fournit la confidentialité, l’authentification, l’intégrité et la fonctionnalité anti-rejeu. ESP peut être utilisé seul, ou il peut être utilisé avec AH.

Algorithmes de mode principal

Dans Windows Vista SP1 et dans Windows Server 2008, les algorithmes d’intégrité suivants sont pris en charge en plus de ces algorithmes qui sont déjà pris en charge dans la version finale de Windows Vista :
  • SHA-256
  • SHA-384
Remarque : L’algorithme d’échange de clé et l’algorithme de cryptage ne sont pas modifiées.

Algorithmes de mode rapide

Dans Windows Vista SP1 et dans Windows Server 2008, les algorithmes suivants sont pris en charge en plus de ces algorithmes qui sont déjà pris en charge dans la version finale de Windows Vista.

Intégrité (AH ou ESP)

  • SHA-256
  • AES-GMAC-128
  • AES-GMAC-192
  • AES-GMAC-256

Intégrité et chiffrement (ESP uniquement)

  • AES-GCM-128
  • AES-GCM-192
  • AES-GCM-256
Pour plus d’informations sur les combinaisons de protocoles AH et ESP sont prises en charge et non pris en charge, consultez les « mode rapide algorithme cryptographique combinaisons sont prises en charge et non pris en charge » section.

Restrictions pour le mode rapide

  • L’algorithme d’intégrité doit être utilisée pour les protocoles AH et ESP.
  • Les algorithmes AES-GMAC sont disponibles pour un algorithme d’intégrité qui a de chiffrement null. Par conséquent, si un de ces algorithmes sont spécifié pour l’intégrité ESP, l’algorithme de cryptage ne peut pas être spécifié.
  • Si vous utilisez un algorithme AES-GCM, vous devez spécifier le même algorithme pour l’intégrité ESP et de cryptage.

Authentification

Dans Windows Vista SP1 et dans Windows Server 2008, les méthodes d’authentification suivantes sont prises en charge en plus de ces méthodes d’authentification qui sont déjà pris en charge dans la version finale de Windows Vista.
  • Certificat d’ordinateur avec la signature de ECDSA-P256
  • Certificat d’ordinateur avec la signature de ECDSA-P384
Remarque : La méthode d’authentification par défaut de Windows Vista est l’authentification RSA SecurId.

Syntaxe et exemples

Cette section décrit la syntaxe de la commande Netsh advfirewall pour ajouter et modifier des règles de sécurité de connexion. Cette section fournit également des exemples de commandes de Netsh advfirewall .

Ajouter une règle de sécurité de connexion

Netsh advfirewallUsage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]

Remarks:

- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Exemple 1
Prenons l’exemple suivant d’une commande Netsh advfirewall :
Netsh advfirewall consec ajouter le nom de la règle = test1 endpoint1 = n’importe quel endpoint2 = n’importe quelle action = requestinrequestout description = « certificat d’utiliser ECDSA256 et AESGMAC256 » auth1 = valeur computercert, computercertecdsap256 auth1ca = "C = US, O = MSFT, CN = \ 'Microsoft North, South, East et West racine NT\' » auth1healthcert ne = aucun auth1ecdsap256ca =" C = US, O = MSFT, CN = \ 'Microsoft North, South, East et West racine NT\' » auth1ecdsap256healthcert = Oui qmsecmethods = ah : aesgmac256 + esp:aesgmac256-aucun
Cette commande crée une règle de sécurité de connexion dont les méthodes d’authentification suivantes dans l’authentification définie :
  • La première méthode d’authentification est un certificat qui utilise la signature du certificat RSA.
  • La seconde méthode d’authentification est un certificat d’intégrité qui utilise ECDSA256 pour la signature du certificat.
La règle de sécurité de connexion protège le trafic à l’aide d’intégrité AH et ESP avec le nouvel algorithme de GMAC AES 256. La règle ne comprend pas de cryptage.
Exemple 2
Prenons l’exemple suivant d’une commande Netsh advfirewall :
Netsh advfirewall consec ajouter le nom de la règle = test2 endpoint1 = n’importe quel endpoint2 = n’importe quelle action = requestinrequestout description = auth1 « Utilisation des 256 SHA pour l’intégrité des » et AES192 pour le cryptage = valeur computercert auth1ca = "C = US, O = MSFT, CN = \ 'Microsoft North, South, East et West racine NT\' » auth1healthcert ne = aucun qmsecmethods = ah : sha256 + esp:sha256-aes192
Cette commande crée une règle de sécurité de connexion qui a une méthode d’authentification dans l’authentification définie. La méthode d’authentification est un certificat qui utilise la signature du certificat RSA.

La règle de sécurité de connexion protège le trafic en utilisant l’intégrité AH et ESP avec SHA256 pour l’intégrité et AES192 pour le cryptage.

Modifier une règle de sécurité de connexion existante

Netsh advfirewallUsage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]


Remarks:

- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Voici un exemple d’une commande qui met à jour la règle qui a été créée dans « Exemple 1 » dans la section précédente :
Nom de la règle du jeu de netsh advfirewall consec = qmsecmethods de nouveau test = ah : aesgmac256 + esp:aesgcm256-aesgcm256
Cette commande met à jour la règle à utiliser 256 d’AES-GCM pour le chiffrement et d’intégrité ESP et utiliser GMAC AES 256 pour l’intégrité AH.

Définition de paramètres globaux de mode principal

Le texte d’aide est pour la commande Netsh advfirewall la valeur globale .
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked and the CRL exists in the client’s CRL cache (default behavior)and the CRL exists in the client’s CRL cache (default behavior) 2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384

Remarks:

- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Voici un exemple d’une commande qui utilise de nouveaux algorithmes SHA dans le jeu de chiffrement de mode principal :
Netsh advfirewall jeu global mainmode mmsecmethods dhgroup1:3des-sha256, sha384 3des

Résolution des problèmes, la configuration et la vérification des commandes

La commande « Netsh advfirewall consec show règle toutes les »

La commande Netsh advfirewall consec show règle toutes les affiche la configuration de toutes les règles de sécurité de connexion.

Voici un exemple de sortie de cette commande.
Rule Name:testEnabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

La commande « Netsh advfirewall monitor show mmsa »

La commande Netsh advfirewall monitor show mmsa affiche l’association de sécurité de mode principal.

Voici un exemple de sortie de cette commande.
Main Mode SA at 01/04/2008 13:10:09Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.

La commande « Netsh advfirewall monitor show qmsa »

La commande Netsh advfirewall monitor show qmsa affiche l’association de sécurité de mode rapide.

Voici un exemple de sortie de cette commande.
Main Mode SA at 01/04/2008 13:10:09Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.

La commande « Netsh advfirewall show global »

La commande Netsh advfirewall show global affiche les paramètres globaux.

Voici un exemple de sortie de cette commande.
Global Settings:IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT

StatefulFTPEnable
StatefulPPTPEnable

Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interopérabilité

Création, mise en œuvre et la gestion de la stratégie IPsec qui utilise les algorithmes Suite B a été introduit dans Windows Vista SP1 et Windows Server 2008. Vous pouvez gérer une stratégie de groupe qui contient les algorithmes Suite B uniquement à l’aide d’outils qui ont été publiés avec Windows Vista SP1 ou Windows Server 2008.

Exemples de scénarios et les résultats attendus sont les suivantes :

Scénario 1

Les nouveaux algorithmes de chiffrement vous permet d’appliquer une stratégie qui est créée sur un ordinateur qui exécute Windows Server 2008 ou Windows Vista SP1 sur un ordinateur qui exécute la version finale de Windows Vista.
Résultat attendu
Si une règle contient des suites de chiffrement qui utilisent les nouveaux algorithmes de chiffrement, ces suites de chiffrement sont perdus et autres suites de chiffrement dans le jeu de chiffrement sont utilisés à la place.

Si aucune des suites de chiffrement dans la règle sont reconnues, la règle entière est supprimée. Un événement est enregistré qui indique que la règle ne peut pas être traitée. Par conséquent, si toutes les suites de chiffrement dans le jeu d’échange de clés cryptographiques sont supprimées, aucune des règles de sécurité de connexion dans la stratégie sont appliqués. Toutefois, toutes les règles de pare-feu sont toujours appliquées.

Le processus d’ensemble de l’authentification est semblable à celui du jeu de chiffrement. Si une stratégie qui contient les nouveaux indicateurs de certificat (ECDSA-P256 ou ECDSA-P384) sont appliqués à un ordinateur qui exécute la version finale de Windows Vista, les méthodes d’authentification sont supprimées.

Si toutes les méthodes d’authentification dans le premier jeu d’authentification sont rejetés pour cette raison, la règle entière n’est pas traitée. Si toutes les méthodes d’authentification dans le deuxième jeu d’authentification sont supprimés, la règle est traitée à l’aide uniquement de la première authentification définie.

Scénario 2

Sur un ordinateur qui exécute la version finale de Windows Vista, les nouveaux algorithmes de chiffrement vous permet d’afficher une stratégie qui a été créée sur un ordinateur qui exécute Windows Server 2008 ou Windows Vista SP1.
Résultat attendu
Les nouveaux algorithmes sont affichés comme « inconnu » dans la surveillance et la création des parties de la zone du composant logiciel enfichable MMC de sécurité avancée de Windows Firewall. La commande Netsh advfirewall affiche également les algorithmes comme « inconnu » dans Windows Vista.

Restrictions sur l’interopérabilité

Restrictions sur l’interopérabilité sont les suivants :
  • Nous ne charge pas de gestion à distance des stratégies qui utilisent les algorithmes Suite B sur les ordinateurs qui exécutent Windows Vista SP1 ou Windows Server 2008 à partir d’un ordinateur qui exécute la version finale de Windows Vista.
  • Lorsqu’une stratégie est créée sur un ordinateur qui exécute Windows Vista SP1 ou Windows Server 2008 est importée sur un ordinateur qui exécute la version finale de Windows Vista, certaines parties de la stratégie sont supprimés. Cela se produit car la version de Windows Vista ne reconnaît pas les nouveaux algorithmes.

Combinaisons d’algorithme de chiffrement mode rapide qui sont pris en charge et non pris en charge

Le tableau suivant montre les combinaisons d ' algorithmes de chiffrement mode rapide pris en charge.
ProtocoleAH l’intégritéIntégrité ESPCryptage
AHAES-128 DE GMACAucunAucun
AHAES-GMAC 192AucunAucun
AHAES-256 DE GMACAucunAucun
AHSHA256AucunAucun
AHSHA1AucunAucun
AHMD5AucunAucun
ESPAucunAES-128 DE GMACAucun
ESPAucunAES-GMAC 192Aucun
ESPAucunAES-256 DE GMACAucun
ESPAucunSHA256Aucun
ESPAucunSHA1Aucun
ESPAucunMD5Aucun
ESPAucunSHA256N’importe quel algorithme de cryptage pris en charge, à l’exception des algorithmes AES-GCM
ESPAucunSHA1N’importe quel algorithme de cryptage pris en charge, à l’exception des algorithmes AES-GCM
ESPAucunMD5N’importe quel algorithme de cryptage pris en charge, à l’exception des algorithmes AES-GCM
ESPAucunAES-GCM 128AES-GCM 128
ESPAucunAES-GCM 192AES-GCM 192
ESPAucunAES-GCM 256AES-GCM 256
AH+ESPAES-128 DE GMACAES-128 DE GMACAucun
AH+ESPAES-128 DE GMACAES-128 DE GMACAucun
AH+ESPAES-128 DE GMACAES-128 DE GMACAucun
AH+ESPSHA-256SHA-256Aucun
AH+ESPSHA1SHA1Aucun
AH+ESPMD5MD5Aucun
AH+ESPSHA256SHA256N’importe quel algorithme de cryptage pris en charge, à l’exception des algorithmes AES-GCM
AH+ESPSHA1SHA1N’importe quel algorithme de cryptage pris en charge, à l’exception des algorithmes AES-GCM
AH+ESPMD5MD5N’importe quel algorithme de cryptage pris en charge, à l’exception des algorithmes AES-GCM
AH+ESPAES-128 DE GMACAES-GCM 128AES-GCM 128
AH+ESPAES-GMAC 192AES-GCM 192AES-GCM 192
AH+ESPAES-256 DE GMACAES-GCM 256AES-GCM 256
Remarque : AES-GMAC est le même que AES-GCM avec le cryptage null. Par exemple, vous pouvez spécifier intégrité AH pour utiliser GMAC AES 128, et vous pouvez spécifier intégrité ESP pour utiliser AES-GCM 128. Il s’agit de la seule exception à la règle que les algorithmes d’intégrité AH et ESP doivent être identiques.

Les combinaisons qui sont décrites dans le tableau suivant ne sont pas pris en charge.
ProtocoleAH l’intégritéIntégrité ESPCryptage
ESPAucunAES-128 DE GMACN’importe quel algorithme de cryptage pris en charge
ESPAucunAES-GMAC 192N’importe quel algorithme de cryptage pris en charge
ESPAucunAES-256 DE GMACN’importe quel algorithme de cryptage pris en charge
ESPAucunAES-GCM 1281.None
2.les n’importe quel algorithme de cryptage, à l’exception de AES-GCM 128
ESPAucunAES-GCM 1921.None
2.les n’importe quel algorithme de cryptage, à l’exception de AES-GCM 192
ESPAucunAES-GCM 2561.None
2.les n’importe quel algorithme de cryptage, à l’exception de AES-GCM 256
AH+ESPAES-128 DE GMACAES-128 DE GMACN’importe quel algorithme de cryptage pris en charge
AH+ESPAES-GMAC 192AES-GMAC 192N’importe quel algorithme de cryptage pris en charge
AH+ESPAES-256 DE GMACAES-256 DE GMACN’importe quel algorithme de cryptage pris en charge
Pour plus d’informations sur Suite B, visitez le site Web suivant :Pour plus d’informations sur les règles de sécurité IPsec et de la connexion, visitez le site Web de Microsoft à l’adresse suivante :Pour plus d’informations sur la cryptographie nouvelle génération dans Windows Server 2008, visitez le site Web de Microsoft à l’adresse suivante :Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Description de 949299 du groupe de sécurité opérateurs de chiffrement qui a été ajouté à Windows Vista Service Pack 1 pour configurer le pare-feu Windows en commun pour IPsec en mode de critères

Propriétés

ID d'article : 949856 - Dernière mise à jour : 17 janv. 2017 - Révision : 1

Commentaires