Descripción de la compatibilidad con algoritmos criptográficos de Suite B que se agregaron a IPsec
En este artículo se describe la compatibilidad con los algoritmos criptográficos de Suite B que se agregaron a IPsec.
Se aplica a: Windows Server 2012 R2, Windows 7 Service Pack 1
Número de KB original: 949856
La compatibilidad con Windows Vista Service Pack 1 (SP1) finaliza el 12 de julio de 2011. Para seguir recibiendo actualizaciones de seguridad para Windows, asegúrese de que ejecuta Windows Vista con Service Pack 2 (SP2). Para obtener más información, consulte Compatibilidad con algunas versiones de Windows.
Introducción
En este artículo se describe la compatibilidad con los algoritmos criptográficos de Suite B que se agregaron en Windows Vista Service Pack 1 (SP1) y en Windows Server 2008. Suite B es un grupo de algoritmos criptográficos aprobados por la Estados Unidos National Security Agency (NSA).
El conjunto B se usa como marco criptográfico interoperable para proteger datos confidenciales. La compatibilidad se ha ampliado a los algoritmos de Suite B para las siguientes áreas:
- Modo principal
- Modo rápido
- Configuración de autenticación
En este artículo también se describe la sintaxis de configuración de directivas de seguridad de protocolo de Internet (IPsec) que usa algoritmos de Suite B.
Nota:
Este contenido supercede parte del contenido publicado en los métodos y algoritmos de IPsec archivados admitidos en Windows.
Más información
Limitaciones de soporte técnico
Entre las limitaciones de soporte técnico de Suite B se incluyen las siguientes:
- La creación y aplicación de la directiva IPsec mediante algoritmos de Suite B solo se admite en Windows Vista Service Pack 1 (SP1), en Windows Server 2008 o en versiones posteriores de Windows.
- La creación de directivas que contienen algoritmos de Suite B se admite a través del complemento "Firewall de Windows con seguridad avanzada" de Microsoft Management Console (MMC) para Windows 7 y para versiones posteriores de Windows.
- El comando de ayuda netsh advfirewall no muestra las opciones de configuración de los algoritmos de Suite B. Esto solo se aplica a Windows Vista SP1.
Definiciones
- Suite B
Suite B es un conjunto de estándares especificados por la Agencia de Seguridad Nacional (NSA). Suite B proporciona al sector un conjunto común de algoritmos criptográficos que se pueden usar para crear productos que satisfagan la gama más amplia de necesidades del gobierno de Ee. UU. Suite B incluye la especificación de los siguientes tipos de algoritmos:
- Integridad
- Cifrado
- Intercambio de claves
- Firma digital
- Estándares federales de procesamiento de información (FIPS)
FIPS es un conjunto de directrices y estándares que rigen los recursos informáticos federales. Todos los algoritmos de Suite B están aprobados por FIPS.
Para obtener más información, consulte Laboratorio de tecnología de la información.
NIST
Este es un acrónimo del Instituto Nacional de Estándares y Tecnología.
Algoritmos de integridad de datos
Los algoritmos de integridad de datos usan hashes de mensaje para asegurarse de que la información no se cambia mientras está en tránsito.
Algoritmos de cifrado de datos
Los algoritmos de cifrado de datos se usan para ocultar la información que se transmite. Los algoritmos de cifrado se usan para convertir texto sin formato en un código secreto.
Por ejemplo, los algoritmos de cifrado pueden convertir texto sin formato en texto cifrado. A continuación, el texto cifrado se puede descodificar en el texto sin formato original. Cada algoritmo usa una "clave" para realizar la conversión. El tipo de clave y la longitud de la clave dependen del algoritmo que se usa.
IPsec
Se trata de una abreviatura del término "Seguridad del protocolo de Internet".
Para obtener más información sobre IPsec, consulte ¿Qué es IPSec?
Algoritmo de firma digital de curva elíptica (ECDSA)
La curva elíptica (EC) es una variante del algoritmo de firma digital que funciona en grupos EC. La variante EC proporciona tamaños de clave más pequeños para el mismo nivel de seguridad.
Este algoritmo se describe en la publicación 186-2 de FIPS. Para ver esta publicación, consulte Digital Signature Standard (DSS).
Entidad de certificación (CA)
Una entidad de certificación es una entidad que emite certificados digitales. IPsec puede usar estos certificados como método de autenticación.
Encabezado de autenticación (AH)
El encabezado de autenticación es un protocolo IPsec que proporciona funcionalidad de autenticación, integridad y anti-reproducción para todo el paquete. Esto incluye el encabezado IP y la carga de datos.
AH no proporciona confidencialidad. Esto significa que AH no cifra los datos. Los datos son legibles, pero no se pueden escribir.
Encapsulación de la carga útil de seguridad (ESP)
ESP es un protocolo IPsec que proporciona confidencialidad, autenticación, integridad y funcionalidad de anti-reproducción. ESP se puede usar solo, o se puede usar junto con AH.
Algoritmos de modo principal
En Windows Vista SP1 y en Windows Server 2008, se admiten los siguientes algoritmos de integridad, además de los algoritmos que ya se admiten en la versión de versión de Windows Vista:
- SHA-256
- SHA-384
Nota:
El algoritmo de intercambio de claves y el algoritmo de cifrado no se cambian.
Algoritmos de modo rápido
En Windows Vista SP1 y en Windows Server 2008, se admiten los siguientes algoritmos, además de los algoritmos que ya se admiten en la versión de versión de Windows Vista.
Integridad (AH o ESP)
- SHA-256
- AES-GMAC-128
- AES-GMAC-192
- AES-GMAC-256
Integridad y cifrado (solo ESP)
- AES-GCM-128
- AES-GCM-192
- AES-GCM-256
Para obtener más información sobre las combinaciones AH y ESP que se admiten y no se admiten, consulte la sección "Combinaciones de algoritmos criptográficos en modo rápido que se admiten y no se admiten".
Restricciones para el modo rápido
- Se debe usar el mismo algoritmo de integridad para AH y ESP.
- Los algoritmos AES-GMAC están disponibles para un algoritmo de integridad que tiene cifrado NULL. Por lo tanto, si se especifica alguno de estos algoritmos para la integridad esp, no se puede especificar el algoritmo de cifrado.
- Si usa un algoritmo AES-GCM, se debe especificar el mismo algoritmo para la integridad y el cifrado de ESP.
Autenticación
En Windows Vista SP1 y En Windows Server 2008, se admiten los siguientes métodos de autenticación, además de los métodos de autenticación que ya se admiten en la versión de versión de Windows Vista.
- Certificado de equipo con firma ECDSA-P256
- Certificado de equipo con firma ECDSA-P384>
Nota:
El método de autenticación predeterminado para Windows Vista es la autenticación RSA SecurId.
Sintaxis y ejemplos
En esta sección se describe la sintaxis para usar el comando Netsh advfirewall para agregar y modificar reglas de seguridad de conexión. En esta sección también se proporcionan ejemplos de comandos de Netsh advfirewall.
Adición de una regla de seguridad de conexión
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Ejemplo 1
Tenga en cuenta el ejemplo siguiente de un comando netsh advfirewall:
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256" auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East y West Root Authority'" auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East y West Root Authority'" auth1ecdsap256healthcert=yes qmsecmethods=ah: aesgmac256+esp:aesgmac256-none
Este comando crea una regla de seguridad de conexión que tiene los siguientes métodos de autenticación en el conjunto de autenticación:
- El primer método de autenticación es un certificado que usa la firma de certificado RSA.
- El segundo método de autenticación es un certificado de estado que usa ECDSA256 para la firma de certificados.
- La regla de seguridad de conexión protege el tráfico mediante la integridad AH y ESP con el nuevo algoritmo AES-GMAC 256. La regla no incluye el cifrado.
Ejemplo 2
Tenga en cuenta el ejemplo siguiente de un comando netsh advfirewall:
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption" auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East y West Root Authority'" auth1healthcert=no qmsecmethods=ah:sha256+esp:sha256-aes192
Este comando crea una regla de seguridad de conexión que tiene un método de autenticación en el conjunto de autenticación. El método de autenticación es un certificado que usa la firma de certificado RSA.
La regla de seguridad de conexión protege el tráfico mediante la integridad AH y ESP con SHA256 para la integridad y con AES192 para el cifrado.
Modificación de una regla de seguridad de conexión existente
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
A continuación se muestra un ejemplo de un comando que actualiza la regla creada en "Ejemplo 1" en la sección anterior: Netsh advfirewall consec set rule name=test new qmsecmethods=ah:aesgmac256+. esp:aesgcm256-aesgcm256 Este comando actualiza la regla para usar AES-GCM 256 para la integridad y el cifrado ESP y para usar AES-GMAC 256 para la integridad ah.
Establecer la configuración global del modo principal
El siguiente texto de ayuda es para el comando global netsh advfirewall set.
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
A continuación se muestra un ejemplo de un comando que usa los nuevos algoritmos SHA en el conjunto criptográfico main-mode: Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384
Comandos de solución de problemas, configuración y verificación
El comando "Netsh advfirewall consec show rule all"
El comando netsh advfirewall consec show rule all muestra la configuración de todas las reglas de seguridad de conexión.
A continuación se muestra un ejemplo de salida para este comando.
Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
Comando "Netsh advfirewall monitor show mmsa"
El comando show mmsa del monitor de netsh advfirewall muestra la asociación de seguridad del modo principal.
A continuación se muestra un ejemplo de salida para este comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.
El comando "Netsh advfirewall monitor show qmsa"
El comando show qmsa del monitor de Netsh advfirewall muestra la asociación de seguridad del modo rápido.
A continuación se muestra un ejemplo de salida para este comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
El comando "Netsh advfirewall show global"
El comando global show de Netsh advfirewall muestra la configuración global.
A continuación se muestra un ejemplo de salida para este comando.
Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTPEnable
StatefulPPTPEnable
Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Interoperabilidad
La creación, aplicación y administración de la directiva IPsec que usa algoritmos de Suite B se introdujo en Windows Vista SP1 y en Windows Server 2008. Puedes administrar un directiva de grupo que contenga algoritmos de Suite B solo mediante herramientas publicadas con Windows Vista SP1 o con Windows Server 2008.
Los escenarios de ejemplo y los resultados esperados son los siguientes.
Escenario 1
Los nuevos algoritmos criptográficos se usan para aplicar una directiva que se crea en un equipo que ejecuta Windows Server 2008 o Windows Vista SP1 a un equipo que ejecuta la versión de versión de Windows Vista.
Resultado esperado
Si una regla contiene conjuntos criptográficos que usan los nuevos algoritmos criptográficos, estos conjuntos criptográficos se quitan y se usan otros conjuntos criptográficos del conjunto criptográfico en su lugar.
Si no se reconoce ninguno de los conjuntos criptográficos de la regla, se quita toda la regla. Se registra un evento que indica que no se puede procesar la regla. Por lo tanto, si se quitan todos los conjuntos criptográficos del conjunto criptográfico de intercambio de claves, no se aplica ninguna de las reglas de seguridad de conexión de la directiva. Sin embargo, se siguen aplicando todas las reglas de firewall.
El proceso de conjunto de autenticación es similar al proceso de conjunto criptográfico. Si se aplica una directiva que contiene las nuevas marcas de certificado (ECDSA-P256 o ECDSA-P384) a un equipo que ejecuta la versión de versión de Windows Vista, se quitan los métodos de autenticación.
Si se quitan todos los métodos de autenticación del primer conjunto de autenticación por este motivo, no se procesa toda la regla. Si se quitan todos los métodos de autenticación del segundo conjunto de autenticación, la regla se procesa usando solo el primer conjunto de autenticación.
Escenario 2
En un equipo que ejecuta la versión de versión de Windows Vista, usa los nuevos algoritmos criptográficos para ver una directiva creada en un equipo que ejecuta Windows Server 2008 o Windows Vista SP1.
Resultado esperado
Los nuevos algoritmos se muestran como "desconocidos" en las partes de supervisión y creación del complemento MMC de seguridad avanzada de Firewall de Windows. El comando Netsh advfirewall también muestra los algoritmos como "desconocidos" en Windows Vista.
Restricciones de interoperabilidad
Las restricciones de interoperabilidad son las siguientes:
- No se admite la administración remota de directivas que usan algoritmos de Suite B en equipos que ejecutan Windows Vista SP1 o Windows Server 2008 desde un equipo que ejecuta la versión de versión de Windows Vista.
- Cuando se importa una directiva que se crea en un equipo que ejecuta Windows Vista SP1 o Windows Server 2008 en un equipo que ejecuta la versión de versión de Windows Vista, se quitan algunas partes de la directiva. Esto ocurre porque la versión de versión de Windows Vista no puede reconocer los nuevos algoritmos.
Combinaciones de algoritmos criptográficos en modo rápido que se admiten y no se admiten
En la tabla siguiente se muestran las combinaciones de algoritmos criptográficos de modo rápido compatibles.
Protocolo | Integridad de AH | Integridad de ESP | Cifrado |
---|---|---|---|
AH | AES-GMAC 128 | Ninguno | Ninguno |
AH | AES-GMAC 192 | Ninguno | Ninguno |
AH | AES-GMAC 256 | Ninguno | Ninguno |
AH | SHA256 | Ninguno | Ninguno |
AH | SHA1 | Ninguno | Ninguno |
AH | MD5 | Ninguno | Ninguno |
ESP | Ninguno | AES-GMAC 128 | Ninguno |
ESP | Ninguno | AES-GMAC 192 | Ninguno |
ESP | Ninguno | AES-GMAC 256 | Ninguno |
ESP | Ninguno | SHA256 | Ninguno |
ESP | Ninguno | SHA1 | Ninguno |
ESP | Ninguno | MD5 | Ninguno |
ESP | Ninguno | SHA256 | Cualquier algoritmo de cifrado admitido excepto los algoritmos AES-GCM |
ESP | Ninguno | SHA1 | Cualquier algoritmo de cifrado admitido excepto los algoritmos AES-GCM |
ESP | Ninguno | MD5 | Cualquier algoritmo de cifrado admitido excepto los algoritmos AES-GCM |
ESP | Ninguno | AES-GCM 128 | AES-GCM 128 |
ESP | Ninguno | AES-GCM 192 | AES-GCM 192 |
ESP | Ninguno | AES-GCM 256 | AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Ninguno |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Ninguno |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Ninguno |
AH+ESP | SHA-256 | SHA-256 | Ninguno |
AH+ESP | SHA1 | SHA1 | Ninguno |
AH+ESP | MD5 | MD5 | Ninguno |
AH+ESP | SHA256 | SHA256 | Cualquier algoritmo de cifrado admitido excepto los algoritmos AES-GCM |
AH+ESP | SHA1 | SHA1 | Cualquier algoritmo de cifrado admitido excepto los algoritmos AES-GCM |
AH+ESP | MD5 | MD5 | Cualquier algoritmo de cifrado admitido excepto los algoritmos AES-GCM |
AH+ESP | AES-GMAC 128 | AES-GCM 128 | AES-GCM 128 |
AH+ESP | AES-GMAC 192 | AES-GCM 192 | AES-GCM 192 |
AH+ESP | AES-GMAC 256 | AES-GCM 256 | AES-GCM 256 |
Nota:
AES-GMAC es igual que AES-GCM con cifrado nulo. Por ejemplo, puede especificar la integridad de AH para usar AES-GMAC 128 y puede especificar la integridad esp para usar AES-GCM 128. Esta es la única excepción a la regla de que los algoritmos de integridad AH y ESP deben ser idénticos.
No se admiten las combinaciones que se describen en la tabla siguiente.
Protocolo | Integridad de AH | Integridad de ESP | Cifrado |
---|---|---|---|
ESP | Ninguno | AES-GMAC 128 | Cualquier algoritmo de cifrado compatible |
ESP | Ninguno | AES-GMAC 192 | Cualquier algoritmo de cifrado compatible |
ESP | Ninguno | AES-GMAC 256 | Cualquier algoritmo de cifrado compatible |
ESP | Ninguno | AES-GCM 128 | 1.None 2.Cualquier algoritmo de cifrado excepto AES-GCM 128 |
ESP | Ninguno | AES-GCM 192 | 1.None 2.Cualquier algoritmo de cifrado excepto AES-GCM 192 |
ESP | Ninguno | AES-GCM 256 | 1.None 2.Cualquier algoritmo de cifrado excepto AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Cualquier algoritmo de cifrado compatible |
AH+ESP | AES-GMAC 192 | AES-GMAC 192 | Cualquier algoritmo de cifrado compatible |
AH+ESP | AES-GMAC 256 | AES-GMAC 256 | Cualquier algoritmo de cifrado compatible |
Para obtener más información sobre suite B, consulte Commercial National Security Algorithm Suite.
Para obtener más información sobre IPsec y las reglas de seguridad de conexión, consulte Firewall de Windows con seguridad avanzada e IPsec.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de