Description de la prise en charge des algorithmes de chiffrement Suite B ajoutés à IPsec
Cet article décrit la prise en charge des algorithmes de chiffrement Suite B ajoutés à IPsec.
S’applique à : Windows Server 2012 R2, Windows 7 Service Pack 1
Numéro de la base de connaissances d’origine : 949856
La prise en charge de Windows Vista Service Pack 1 (SP1) prend fin le 12 juillet 2011. Pour continuer à recevoir les mises à jour de sécurité pour Windows, vérifiez que vous exécutez Windows Vista avec Service Pack 2 (SP2). Pour plus d’informations, consultez La prise en charge prend fin pour certaines versions de Windows.
Introduction
Cet article décrit la prise en charge des algorithmes de chiffrement Suite B ajoutés dans Windows Vista Service Pack 1 (SP1) et Windows Server 2008. La suite B est un groupe d’algorithmes de chiffrement approuvés par l’Agence de sécurité nationale (NSA) États-Unis.
La suite B est utilisée comme infrastructure de chiffrement interopérable pour la protection des données sensibles. La prise en charge a été étendue aux algorithmes de suite B pour les domaines suivants :
- Mode principal
- Mode rapide
- Paramètres d’authentification
Cet article décrit également la syntaxe de configuration de stratégie IPsec (Internet Protocol Security) qui utilise des algorithmes suite B.
Remarque
Ce contenu remplace certains contenus publiés sur les méthodes et algorithmes IPsec archivés pris en charge dans Windows.
Plus d’informations
Limitations de la prise en charge
Les limitations de prise en charge de la Suite B sont les suivantes :
- La création et l’application de la stratégie IPsec à l’aide d’algorithmes suite B sont prises en charge uniquement dans Windows Vista Service Pack 1 (SP1), Windows Server 2008 ou dans les versions ultérieures de Windows.
- La création de stratégies qui contiennent des algorithmes suite B est prise en charge via le composant logiciel enfichable MMC (Microsoft Management Console) « Pare-feu Windows avec sécurité avancée » pour Windows 7 et pour les versions ultérieures de Windows.
- La commande d’aide Netsh advfirewall n’affiche pas les options de configuration pour les algorithmes de suite B. Cela s’applique uniquement à Windows Vista SP1.
Définitions
- Suite B
La suite B est un ensemble de normes spécifiées par la National Security Agency (NSA). La suite B fournit à l’industrie un ensemble commun d’algorithmes de chiffrement qui peuvent être utilisés pour créer des produits qui répondent à la plus large gamme de besoins du gouvernement américain. La suite B inclut la spécification des types d’algorithmes suivants :
- Intégrité
- Chiffrement
- Échange de clés
- Signature numérique
- Normes fiPS (Federal Information Processing Standards)
FIPS est un ensemble de directives et de normes qui régissent les ressources informatiques fédérales. Tous les algorithmes de suite B sont approuvés par FIPS.
Pour plus d’informations, consultez Laboratoire des technologies de l’information.
NIST
Il s’agit d’un acronyme du National Institute of Standards and Technology.
Algorithmes d’intégrité des données
Les algorithmes d’intégrité des données utilisent des hachages de message pour s’assurer que les informations ne sont pas modifiées pendant leur transit.
Algorithmes de chiffrement des données
Les algorithmes de chiffrement des données sont utilisés pour masquer les informations transmises. Les algorithmes de chiffrement sont utilisés pour convertir du texte brut en code secret.
Par exemple, les algorithmes de chiffrement peuvent convertir du texte brut en texte chiffré. Le texte chiffré peut ensuite être décodé en texte brut d’origine. Chaque algorithme utilise une « clé » pour effectuer la conversion. Le type de clé et la longueur de la clé dépendent de l’algorithme utilisé.
IPsec
Il s’agit d’une abréviation pour le terme « Sécurité du protocole Internet ».
Pour plus d’informations sur IPsec, consultez Qu’est-ce qu’IPSec ?
Algorithme de signature numérique à courbe elliptique (ECDSA)
La courbe elliptique (EC) est une variante de l’algorithme de signature numérique qui fonctionne sur les groupes EC. La variante EC fournit des tailles de clé plus petites pour le même niveau de sécurité.
Cet algorithme est décrit dans la publication FIPS 186-2. Pour afficher cette publication, consultez Digital Signature Standard (DSS).
Autorité de certification (CA)
Une autorité de certification est une entité qui émet des certificats numériques. IPsec peut utiliser ces certificats comme méthode d’authentification.
En-tête d’authentification (AH)
L’en-tête d’authentification est un protocole IPsec qui fournit des fonctionnalités d’authentification, d’intégrité et d’anti-relecture pour l’ensemble du paquet. Cela inclut l’en-tête IP et la charge utile des données.
AH ne fournit pas de confidentialité. Cela signifie qu’AH ne chiffre pas les données. Les données sont lisibles, mais elles ne sont pas réécritables.
Encapsulating Security Payload (ESP)
ESP est un protocole IPsec qui fournit des fonctionnalités de confidentialité, d’authentification, d’intégrité et d’anti-relecture. ESP peut être utilisé seul, ou il peut être utilisé avec AH.
Algorithmes en mode principal
Dans Windows Vista SP1 et dans Windows Server 2008, les algorithmes d’intégrité suivants sont pris en charge en plus des algorithmes déjà pris en charge dans la version release de Windows Vista :
- SHA-256
- SHA-384
Remarque
L’algorithme d’échange de clés et l’algorithme de chiffrement ne sont pas modifiés.
Algorithmes en mode rapide
Dans Windows Vista SP1 et dans Windows Server 2008, les algorithmes suivants sont pris en charge en plus des algorithmes déjà pris en charge dans la version release de Windows Vista.
Intégrité (AH ou ESP)
- SHA-256
- AES-GMAC-128
- AES-GMAC-192
- AES-GMAC-256
Intégrité et chiffrement (ESP uniquement)
- AES-GCM-128
- AES-GCM-192
- AES-GCM-256
Pour plus d’informations sur les combinaisons AH et ESP prises en charge et non prises en charge, consultez la section « Combinaisons d’algorithmes de chiffrement en mode rapide prises en charge et non prises en charge ».
Restrictions pour le mode rapide
- Le même algorithme d’intégrité doit être utilisé pour AH et ESP.
- Les algorithmes AES-GMAC sont disponibles pour un algorithme d’intégrité doté d’un chiffrement Null. Par conséquent, si l’un de ces algorithmes est spécifié pour l’intégrité ESP, l’algorithme de chiffrement ne peut pas être spécifié.
- Si vous utilisez un algorithme AES-GCM, le même algorithme doit être spécifié pour l’intégrité ESP et le chiffrement.
Authentification
Dans Windows Vista SP1 et windows Server 2008, les méthodes d’authentification suivantes sont prises en charge en plus des méthodes d’authentification déjà prises en charge dans la version release de Windows Vista.
- Certificat d’ordinateur avec signature ECDSA-P256
- Certificat d’ordinateur avec signature ECDSA-P384>
Remarque
La méthode d’authentification par défaut pour Windows Vista est l’authentification RSA SecurId.
Syntaxe et exemples
Cette section décrit la syntaxe de l’utilisation de la commande Netsh advfirewall pour ajouter et modifier des règles de sécurité de connexion. Cette section fournit également des exemples de commandes Netsh advfirewall.
Ajouter une règle de sécurité de connexion
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Exemple 1
Prenons l’exemple suivant de commande Netsh advfirewall :
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256 » auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority' » auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority' » auth1ecdsap256healthcert=yes qmsecmethods=ah : aesgmac256+esp :aesgmac256-none
Cette commande crée une règle de sécurité de connexion qui a les méthodes d’authentification suivantes dans l’ensemble d’authentification :
- La première méthode d’authentification est un certificat qui utilise la signature de certificat RSA.
- La deuxième méthode d’authentification est un certificat d’intégrité qui utilise ECDSA256 pour la signature de certificat.
- La règle de sécurité de connexion protège le trafic à l’aide de l’intégrité AH et ESP avec le nouvel algorithme AES-GMAC 256. La règle n’inclut pas le chiffrement.
Exemple 2
Prenons l’exemple suivant de commande Netsh advfirewall :
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption » auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East, and West Root Authority' » auth1healthcert=no qmsecmethods=ah :sha256+esp :sha256-aes192
Cette commande crée une règle de sécurité de connexion qui a une méthode d’authentification dans l’ensemble d’authentification. La méthode d’authentification est un certificat qui utilise la signature de certificat RSA.
La règle de sécurité de connexion protège le trafic en utilisant l’intégrité AH et ESP avec SHA256 pour l’intégrité et avec AES192 pour le chiffrement.
Modifier une règle de sécurité de connexion existante
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Voici un exemple de commande qui met à jour la règle créée dans « Exemple 1 » dans la section précédente : Netsh advfirewall consec set rule name=test new qmsecmethods=ah :aesgmac256+esp :aesgcm256-aesgcm256 Cette commande met à jour la règle pour utiliser AES-GCM 256 pour l’intégrité et le chiffrement ESP et pour utiliser AES-GMAC 256 pour l’intégrité AH.
Définir les paramètres globaux du mode principal
Le texte d’aide suivant concerne la commande globale Netsh advfirewall set.
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Voici un exemple de commande qui utilise les nouveaux algorithmes SHA dans le jeu de chiffrement en mode principal : Netsh advfirewall set global mainmode mmsecmethods dhgroup1 :3des-sha256, 3des-sha384
Commandes de résolution des problèmes, de configuration et de vérification
Commande « Netsh advfirewall consec show rule all »
La commande Netsh advfirewall consec show rule all affiche la configuration de toutes les règles de sécurité de connexion.
Voici un exemple de sortie pour cette commande.
Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
Commande « Netsh advfirewall monitor show mmsa »
La commande Netsh advfirewall monitor show mmsa affiche l’association de sécurité du mode principal.
Voici un exemple de sortie pour cette commande.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.
Commande « Netsh advfirewall monitor show qmsa »
La commande Netsh advfirewall monitor show qmsa affiche l’association de sécurité en mode rapide.
Voici un exemple de sortie pour cette commande.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
Commande « Netsh advfirewall show global »
La commande globale Netsh advfirewall show affiche les paramètres globaux.
Voici un exemple de sortie pour cette commande.
Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTPEnable
StatefulPPTPEnable
Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Interopérabilité
La création, l’application et la gestion de la stratégie IPsec qui utilise des algorithmes suite B ont été introduites dans Windows Vista SP1 et Windows Server 2008. Vous pouvez gérer un stratégie de groupe qui contient des algorithmes suite B uniquement à l’aide d’outils publiés avec Windows Vista SP1 ou Windows Server 2008.
Les exemples de scénarios et les résultats attendus sont les suivants.
Scénario 1
Vous utilisez les nouveaux algorithmes de chiffrement pour appliquer une stratégie créée sur un ordinateur exécutant Windows Server 2008 ou Windows Vista SP1 à un ordinateur qui exécute la version release de Windows Vista.
Résultat attendu
Si une règle contient des suites de chiffrement qui utilisent les nouveaux algorithmes de chiffrement, ces suites de chiffrement sont supprimées et d’autres suites de chiffrement dans le jeu de chiffrement sont utilisées à la place.
Si aucune des suites de chiffrement de la règle n’est reconnue, la règle entière est supprimée. Un événement est journalisé qui indique que la règle ne peut pas être traitée. Par conséquent, si toutes les suites de chiffrement dans le jeu de chiffrement d’échange de clés sont supprimées, aucune des règles de sécurité de connexion dans la stratégie n’est appliquée. Toutefois, toutes les règles de pare-feu sont toujours appliquées.
Le processus d’ensemble d’authentification ressemble au processus de jeu de chiffrement. Si une stratégie qui contient les nouveaux indicateurs de certificat (ECDSA-P256 ou ECDSA-P384) est appliquée à un ordinateur qui exécute la version release de Windows Vista, les méthodes d’authentification sont supprimées.
Si toutes les méthodes d’authentification du premier jeu d’authentification sont supprimées pour cette raison, la règle entière n’est pas traitée. Si toutes les méthodes d’authentification du deuxième jeu d’authentification sont supprimées, la règle est traitée en utilisant uniquement le premier jeu d’authentification.
Scénario 2
Sur un ordinateur qui exécute la version release de Windows Vista, vous utilisez les nouveaux algorithmes de chiffrement pour afficher une stratégie qui a été créée sur un ordinateur exécutant Windows Server 2008 ou Windows Vista SP1.
Résultat attendu
Les nouveaux algorithmes sont affichés comme « inconnus » dans les parties de surveillance et de création du composant logiciel enfichable MMC de sécurité avancée du pare-feu Windows. La commande Netsh advfirewall affiche également les algorithmes comme « inconnus » dans Windows Vista.
Restrictions sur l’interopérabilité
Les restrictions d’interopérabilité sont les suivantes :
- Nous ne prenons pas en charge la gestion à distance des stratégies qui utilisent des algorithmes suite B sur les ordinateurs exécutant Windows Vista SP1 ou Windows Server 2008 à partir d’un ordinateur qui exécute la version release de Windows Vista.
- Lorsqu’une stratégie créée sur un ordinateur exécutant Windows Vista SP1 ou Windows Server 2008 est importée sur un ordinateur qui exécute la version release de Windows Vista, certaines parties de la stratégie sont supprimées. Cela se produit parce que la version release de Windows Vista ne peut pas reconnaître les nouveaux algorithmes.
Combinaisons d’algorithmes de chiffrement en mode rapide prises en charge et non prises en charge
Le tableau suivant présente les combinaisons d’algorithmes de chiffrement en mode rapide prises en charge.
Protocole | Intégrité AH | Intégrité ESP | Chiffrement |
---|---|---|---|
AH | AES-GMAC 128 | Aucun | Aucun |
AH | AES-GMAC 192 | Aucun | Aucun |
AH | AES-GMAC 256 | Aucun | Aucun |
AH | SHA256 | Aucun | Aucun |
AH | SHA1 | Aucun | Aucun |
AH | MD5 | Aucun | Aucun |
ESP | Aucun | AES-GMAC 128 | Aucun |
ESP | Aucun | AES-GMAC 192 | Aucun |
ESP | Aucun | AES-GMAC 256 | Aucun |
ESP | Aucun | SHA256 | Aucun |
ESP | Aucun | SHA1 | Aucun |
ESP | Aucun | MD5 | Aucun |
ESP | Aucun | SHA256 | Tout algorithme de chiffrement pris en charge à l’exception des algorithmes AES-GCM |
ESP | Aucun | SHA1 | Tout algorithme de chiffrement pris en charge à l’exception des algorithmes AES-GCM |
ESP | Aucun | MD5 | Tout algorithme de chiffrement pris en charge à l’exception des algorithmes AES-GCM |
ESP | Aucun | AES-GCM 128 | AES-GCM 128 |
ESP | Aucun | AES-GCM 192 | AES-GCM 192 |
ESP | Aucun | AES-GCM 256 | AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Aucun |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Aucun |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Aucun |
AH+ESP | SHA-256 | SHA-256 | Aucun |
AH+ESP | SHA1 | SHA1 | Aucun |
AH+ESP | MD5 | MD5 | Aucun |
AH+ESP | SHA256 | SHA256 | Tout algorithme de chiffrement pris en charge à l’exception des algorithmes AES-GCM |
AH+ESP | SHA1 | SHA1 | Tout algorithme de chiffrement pris en charge à l’exception des algorithmes AES-GCM |
AH+ESP | MD5 | MD5 | Tout algorithme de chiffrement pris en charge à l’exception des algorithmes AES-GCM |
AH+ESP | AES-GMAC 128 | AES-GCM 128 | AES-GCM 128 |
AH+ESP | AES-GMAC 192 | AES-GCM 192 | AES-GCM 192 |
AH+ESP | AES-GMAC 256 | AES-GCM 256 | AES-GCM 256 |
Remarque
AES-GMAC est identique à AES-GCM avec chiffrement Null. Par exemple, vous pouvez spécifier l’intégrité AH pour utiliser AES-GMAC 128, et vous pouvez spécifier l’intégrité ESP pour utiliser AES-GCM 128. Il s’agit de la seule exception à la règle selon laquelle les algorithmes d’intégrité AH et ESP doivent être identiques.
Les combinaisons décrites dans le tableau suivant ne sont pas prises en charge.
Protocole | Intégrité AH | Intégrité ESP | Chiffrement |
---|---|---|---|
ESP | Aucun | AES-GMAC 128 | Tout algorithme de chiffrement pris en charge |
ESP | Aucun | AES-GMAC 192 | Tout algorithme de chiffrement pris en charge |
ESP | Aucun | AES-GMAC 256 | Tout algorithme de chiffrement pris en charge |
ESP | Aucun | AES-GCM 128 | 1.Aucun 2.Tout algorithme de chiffrement sauf AES-GCM 128 |
ESP | Aucun | AES-GCM 192 | 1.Aucun 2.Tout algorithme de chiffrement sauf AES-GCM 192 |
ESP | Aucun | AES-GCM 256 | 1.Aucun 2.Tout algorithme de chiffrement à l’exception d’AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Tout algorithme de chiffrement pris en charge |
AH+ESP | AES-GMAC 192 | AES-GMAC 192 | Tout algorithme de chiffrement pris en charge |
AH+ESP | AES-GMAC 256 | AES-GMAC 256 | Tout algorithme de chiffrement pris en charge |
Pour plus d’informations sur la suite B, consultez Commercial National Security Algorithm Suite.
Pour plus d’informations sur IPsec et les règles de sécurité de connexion, consultez Pare-feu Windows avec sécurité avancée et IPsec.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour