Descrição do suporte para algoritmos criptográficos do Suite B que foi adicionado ao IPsec
Este artigo descreve o suporte para algoritmos criptográficos do Suite B que foram adicionados ao IPsec.
Aplica-se a: Windows Server 2012 R2, Windows 7 Service Pack 1
Número de KB original: 949856
O suporte ao Windows Vista Service Pack 1 (SP1) termina em 12 de julho de 2011. Para continuar recebendo atualizações de segurança para Windows, verifique se você está executando o Windows Vista com o Service Pack 2 (SP2). Para obter mais informações, confira O suporte está terminando para algumas versões do Windows.
Introdução
Este artigo descreve o suporte para algoritmos criptográficos do Suite B que foram adicionados no Windows Vista Service Pack 1 (SP1) e no Windows Server 2008. O Suite B é um grupo de algoritmos criptográficos aprovados pela NSA (Agência de Segurança Nacional Estados Unidos).
O Suite B é usado como uma estrutura criptográfica interoperável para proteger dados confidenciais. O suporte foi estendido aos algoritmos do Suite B para as seguintes áreas:
- Modo principal
- Modo rápido
- Configurações de autenticação
Este artigo também descreve a sintaxe de configuração de política IPsec (Internet Protocol security) que usa algoritmos do Suite B.
Observação
Esse conteúdo substitui alguns conteúdos publicados em algoritmos e métodos IPsec arquivados com suporte no Windows.
Mais informações
Limitações de suporte
As limitações de suporte para o Suite B incluem o seguinte:
- A criação e a imposição da política IPsec usando algoritmos do Suite B só tem suporte no Windows Vista Service Pack 1 (SP1), no Windows Server 2008 ou em versões posteriores do Windows.
- A criação de políticas que contêm algoritmos do Suite B é suportada por meio do snap-in "Firewall do Windows com Segurança Avançada" do Microsoft Management Console (MMC) para Windows 7 e para versões posteriores do Windows.
- O comando de ajuda do Netsh advfirewall não exibe opções de configuração para algoritmos do Suite B. Isso se aplica apenas ao Windows Vista SP1.
Definições
- Suite B
O Suite B é um conjunto de padrões especificados pela NSA (Agência de Segurança Nacional). O Suite B fornece ao setor um conjunto comum de algoritmos criptográficos que podem ser usados para criar produtos que atendam ao maior intervalo de necessidades do governo dos EUA. O Suite B inclui a especificação dos seguintes tipos de algoritmos:
- Integridade
- Criptografia
- Troca de chaves
- Assinatura digital
- Padrões federais de processamento de informações (FIPS)
O FIPS é um conjunto de diretrizes e padrões que regem os recursos federais de computação. Todos os algoritmos do Suite B são aprovados pelo FIPS.
Para obter mais informações, consulte Laboratório de Tecnologia da Informação.
NIST
Este é um acrônimo para o Instituto Nacional de Padrões e Tecnologia.
Algoritmos de integridade de dados
Algoritmos de integridade de dados usam hashes de mensagem para garantir que as informações não sejam alteradas enquanto estiverem em trânsito.
Algoritmos de criptografia de dados
Algoritmos de criptografia de dados são usados para ocultar informações que estão sendo transmitidas. Os algoritmos de criptografia são usados para converter texto simples em um código secreto.
Por exemplo, os algoritmos de criptografia podem converter texto simples em ciphertext. Em seguida, o ciphertext pode ser decodificado para o texto simples original. Cada algoritmo usa uma "chave" para executar a conversão. O tipo de chave e o comprimento da chave dependem do algoritmo que está sendo usado.
IPSec
Essa é uma abreviação para o termo "Segurança do Protocolo da Internet".
Para obter mais informações sobre o IPsec, consulte O que é IPSec?
Algoritmo de assinatura digital da curva elíptica (ECDSA)
A curva elíptica (EC) é uma variante do algoritmo de assinatura digital que opera em grupos de EC. A variante EC fornece tamanhos de chave menores para o mesmo nível de segurança.
Esse algoritmo é descrito na publicação FIPS 186-2. Para exibir esta publicação, consulte DSS (Digital Signature Standard).
Autoridade de certificação (CA)
Uma autoridade de certificação é uma entidade que emite certificados digitais. O IPsec pode usar esses certificados como um método de autenticação.
Cabeçalho de autenticação (AH)
O Cabeçalho de Autenticação é um protocolo IPsec que fornece autenticação, integridade e funcionalidade anti-replay para todo o pacote. Isso inclui o cabeçalho IP e a carga de dados.
A AH não fornece confidencialidade. Isso significa que a AH não criptografa os dados. Os dados são legíveis, mas não podem ser substituídos.
Encapsulando a esp (carga de segurança)
ESP é um protocolo IPsec que fornece confidencialidade, autenticação, integridade e funcionalidade anti-replay. O ESP pode ser usado sozinho ou pode ser usado junto com a AH.
Algoritmos de modo principal
No Windows Vista SP1 e no Windows Server 2008, há suporte para os seguintes algoritmos de integridade, além dos algoritmos que já têm suporte na versão de versão do Windows Vista:
- SHA-256
- SHA-384
Observação
O algoritmo de troca de chaves e o algoritmo de criptografia não são alterados.
Algoritmos de modo rápido
No Windows Vista SP1 e no Windows Server 2008, há suporte para algoritmos a seguir, além dos algoritmos que já têm suporte na versão de versão do Windows Vista.
Integridade (AH ou ESP)
- SHA-256
- AES-GMAC-128
- AES-GMAC-192
- AES-GMAC-256
Integridade e criptografia (somente ESP)
- AES-GCM-128
- AES-GCM-192
- AES-GCM-256
Para obter mais informações sobre combinações AH e ESP com suporte e sem suporte, confira a seção "Combinações de algoritmo criptográfico de modo rápido com suporte e sem suporte".
Restrições para o modo Rápido
- O mesmo algoritmo de integridade deve ser usado para AH e ESP.
- Os algoritmos AES-GMAC estão disponíveis para um algoritmo de integridade que tem criptografia nula. Portanto, se algum desses algoritmos for especificado para integridade esp, o algoritmo de criptografia não poderá ser especificado.
- Se você usar um algoritmo AES-GCM, o mesmo algoritmo deverá ser especificado para integridade e criptografia esp.
Autenticação
No Windows Vista SP1 e no Windows Server 2008, os seguintes métodos de autenticação têm suporte, além dos métodos de autenticação que já têm suporte na versão de versão do Windows Vista.
- Certificado de computador com assinatura ECDSA-P256
- Certificado de computador com assinatura ECDSA-P384>
Observação
O método de autenticação padrão do Windows Vista é a autenticação RSA SecurId.
Sintaxe e exemplos
Esta seção descreve a sintaxe para usar o comando Netsh advfirewall para adicionar e modificar regras de segurança de conexão. Esta seção também fornece exemplos de comandos do Netsh advfirewall.
Adicionar uma regra de segurança de conexão
Netsh advfirewall
Usage: add rule name=<string>
endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication
[description=<string>]
[mode=transport|tunnel (default=transport)]
[enable=yes|no (default=yes)]
[profile=public|private|domain|any[,...] (default=any)]
[type=dynamic|static (default=static)]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any (default=any)]
[port2=0-65535|any (default=any)]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
[interfacetype=wiresless|lan|ras|any (default=any)]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
none (default=none)]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
|default]
Remarks:
- The rule name should be unique, and it cannot be "all."
- When mode=tunnel, both tunnel endpoints must be specified and must be
the same IP version. Also, the action must be requireinrequireout.
- At least one authentication must be specified.
- Auth1 and auth2 can be comma-separated lists of options.
- The "computerpsk" and "computerntlm" methods cannot be specified together
for auth1.
- Computercert cannot be specified with user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption.
- sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for certmapping and for excludecaname is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
Exemplo 1
Considere o exemplo a seguir de um comando netsh advfirewall:
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256" auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East e West Root Authority'" auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East e West Root Authority'" auth1ecdsap256healthcert=yes qmsecmethods=ah: aesgmac256+esp:aesgmac256-none
Este comando cria uma regra de segurança de conexão que tem os seguintes métodos de autenticação no conjunto de autenticação:
- O primeiro método de autenticação é um certificado que usa a assinatura de certificado RSA.
- O segundo método de autenticação é um certificado de integridade que usa ECDSA256 para assinatura de certificado.
- A regra de segurança de conexão protege o tráfego usando a integridade de AH e ESP com o novo algoritmo AES-GMAC 256. A regra não inclui criptografia.
Exemplo 2
Considere o exemplo a seguir de um comando netsh advfirewall:
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption" auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East e West Root Authority'" auth1healthcert=no qmsecmethods=ah:sha256+esp:sha256-aes192
Esse comando cria uma regra de segurança de conexão que tem um método de autenticação no conjunto de autenticação. O método de autenticação é um certificado que usa a assinatura de certificado RSA.
A regra de segurança de conexão protege o tráfego usando a integridade de AH e ESP com SHA256 para integridade e com o AES192 para criptografia.
Modificar uma regra de segurança de conexão existente
Netsh advfirewall
Usage: set rule
group=<string> | name=<string>
[type=dynamic|static]
[profile=public|private|domain|any[,...] (default=any)]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=<string>]
[profile=public|private|domain|any[,...]]
[description=<string>]
[mode=transport|tunnel]
[endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
<IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
[action=requireinrequestout|requestinrequestout|
requireinrequireout|noauthentication]
[enable=yes|no]
[type=dynamic|static]
[localtunnelendpoint=<IPv4 address>|<IPv6 address>]
[remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
[port1=0-65535|any]
[port2=0-65535|any]
[protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
[interfacetype=wiresless|lan|ras|any]
[auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
computerntlm|anonymous[,...]]
[auth1psk=<string>]
[auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1healthcert=yes|no (default=no)]
[auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap256healthcert=yes|no (default=no)]
[auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
[auth1ecdsap384healthcert=yes|no (default=no)]
[auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
[auth2ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
[auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
[qmsecmethods=
ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
default]
Remarks:
- This sets a new parameter value on an identified rule. The command fails
if the rule does not exist. To create a rule, use the "add" command.
- Values after the new keyword are updated in the rule. If there are
no values, or if the "new" keyword is missing, no changes are made.
- Only a group of rules can be enabled or disabled.
- If multiple rules match the criteria, all matching rules are
updated.
- The rule name should be unique, and it cannot be "all."
- Auth1 and auth2 can be comma-separated lists of options.
- The computerpsk and computerntlm methods cannot be specified together
for auth1.
- Computercert cannot be specified by using user credentials for auth2.
- Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- Qmsecmethods can be a list of proposals that are separated by a comma (,).
- For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
- If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption.
- Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
- If qmsemethods are set to "default," qmpfs will be set to "default" also.
- Qmpfs=mainmode uses the main mode key exchange setting for PFS.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The default value for "certmapping" and "excludecaname" is "no."
- The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').
A seguir está um exemplo de um comando que atualiza a regra criada em "Exemplo 1" na seção anterior: Netsh advfirewall consec set rule name=test new qmsecmethods=ah:aesgmac256+esp:aesgcm256-aesgcm256 Este comando atualiza a regra para usar o AES-GCM 256 para integridade e criptografia ESP e usar o AES-GMAC 256 para integridade AH.
Definir configurações globais do modo principal
O texto de ajuda a seguir é para o comando global do conjunto netsh advfirewall.
netsh advfirewall>set global
Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
set global IPsec (parameter) (value)
set global mainmode (parameter) (value) | notconfigured
IPsec Parameters:
strongcrlcheck - Configures how CRL checking is enforced.
0: Disable CRL checking
1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
notconfigured: Returns the value to its unconfigured state.
saidletimemin - Configures the security association idle time in
minutes.
- Usage: 5-60|notconfigured (default=5)
defaultexemptions - Configures the default IPsec exemptions. The default is
to exempt IPv6 neighbordiscovery protocol from
IPsec.
- Usage: none|neighbordiscovery|notconfigured
Main Mode Parameters:
mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
- Usage: <num>min,<num>sess
mmsecmethods - Configures the main mode list of proposals
- Usage:
keyexch:enc-integrity,enc-integrity[,...]|default
- keyexch=dhgroup1|dhgroup2|dhgroup14|
ecdhp256|ecdhp384
- enc=3des|des|aes128|aes192|aes256
- integrity=md5|sha1|sha256|sha384
Remarks:
- This configures global settings, such as advanced IPsec options.
- We recommend that you do not use DES, MD5, or DHGroup1. These
cryptographic algorithms are provided for backward compatibility
only.
- The mmsecmethods keyword default sets the policy to the following:
dhgroup2-aes128-sha1,dhgroup2-3des-sha1
- Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
Veja a seguir um exemplo de um comando que usa os novos algoritmos SHA no conjunto criptográfico do modo principal: Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384
Solução de problemas, configuração e comandos de verificação
O comando "Netsh advfirewall consec show rule all"
O consec do advfirewall do Netsh mostra que todos os comandos exibem a configuração para todas as regras de segurança de conexão.
A seguir está um exemplo de saída para este comando.
Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb
O comando "Netsh advfirewall monitor show mmsa"
O monitor advfirewall do Netsh mostra que o comando mmsa exibe a associação de segurança do modo principal.
A seguir está um exemplo de saída para este comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.
O comando "Netsh advfirewall monitor show qmsa"
O monitor do Advfirewall do Netsh mostra que o comando qmsa exibe a associação de segurança do modo rápido.
A seguir está um exemplo de saída para este comando.
Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.
O comando "Netsh advfirewall show global"
O advfirewall do Netsh mostra que o comando global exibe configurações globais.
A seguir está um exemplo de saída para este comando.
Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT
StatefulFTPEnable
StatefulPPTPEnable
Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384
Interoperabilidade
A criação, a imposição e o gerenciamento da política IPsec que usa algoritmos do Suite B foram introduzidos no Windows Vista SP1 e no Windows Server 2008. Você pode gerenciar um Política de Grupo que contém algoritmos do Suite B apenas usando ferramentas que foram lançadas com o Windows Vista SP1 ou com o Windows Server 2008.
Cenários de exemplo e resultados esperados são os seguintes.
Cenário 1
Você usa os novos algoritmos criptográficos para aplicar uma política criada em um computador que está executando o Windows Server 2008 ou o Windows Vista SP1 a um computador que está executando a versão de versão do Windows Vista.
Resultado esperado
Se uma regra contiver pacotes criptográficos que usam os novos algoritmos criptográficos, esses pacotes criptográficos serão descartados e outros pacotes criptográficos no conjunto criptográfico serão usados.
Se nenhum dos pacotes criptográficos na regra for reconhecido, toda a regra será descartada. Um evento é registrado que indica que a regra não pode ser processada. Portanto, se todos os pacotes criptográficos no conjunto de criptografia de troca de chaves forem descartados, nenhuma das regras de segurança de conexão na política será aplicada. No entanto, todas as regras de firewall ainda são aplicadas.
O processo de conjunto de autenticação se assemelha ao processo de conjunto criptográfico. Se uma política que contém os novos sinalizadores de certificado (ECDSA-P256 ou ECDSA-P384) for aplicada a um computador que está executando a versão de versão do Windows Vista, os métodos de autenticação serão descartados.
Se todos os métodos de autenticação no primeiro conjunto de autenticação forem descartados por esse motivo, toda a regra não será processada. Se todos os métodos de autenticação no segundo conjunto de autenticação forem descartados, a regra será processada usando apenas o primeiro conjunto de autenticação.
Cenário 2
Em um computador que está executando a versão de versão do Windows Vista, você usa os novos algoritmos criptográficos para exibir uma política criada em um computador que está executando o Windows Server 2008 ou o Windows Vista SP1.
Resultado esperado
Os novos algoritmos são exibidos como "desconhecidos" nas partes de monitoramento e criação do snap-in MMC de Segurança Avançada do Firewall do Windows. O comando Netsh advfirewall também exibe os algoritmos como "desconhecidos" no Windows Vista.
Restrições à interoperabilidade
As restrições à interoperabilidade são as seguintes:
- Não oferecemos suporte ao gerenciamento remoto de políticas que usam algoritmos do Suite B em computadores que executam o Windows Vista SP1 ou o Windows Server 2008 de um computador que está executando a versão de versão do Windows Vista.
- Quando uma política criada em um computador que está executando o Windows Vista SP1 ou Windows Server 2008 é importada para um computador que está executando a versão de versão do Windows Vista, algumas partes da política são descartadas. Isso ocorre porque a versão de versão do Windows Vista não pode reconhecer os novos algoritmos.
Combinações de algoritmo criptográfico de modo rápido com suporte e sem suporte
A tabela a seguir mostra combinações de algoritmo criptográfico de modo rápido com suporte.
Protocolo | Integridade ah | Integridade esp | Criptografia |
---|---|---|---|
AH | AES-GMAC 128 | Nenhum | Nenhum |
AH | AES-GMAC 192 | Nenhum | Nenhum |
AH | AES-GMAC 256 | Nenhum | Nenhum |
AH | SHA256 | Nenhum | Nenhum |
AH | SHA1 | Nenhum | Nenhum |
AH | MD5 | Nenhum | Nenhum |
ESP | Nenhum | AES-GMAC 128 | Nenhum |
ESP | Nenhum | AES-GMAC 192 | Nenhum |
ESP | Nenhum | AES-GMAC 256 | Nenhum |
ESP | Nenhum | SHA256 | Nenhum |
ESP | Nenhum | SHA1 | Nenhum |
ESP | Nenhum | MD5 | Nenhum |
ESP | Nenhum | SHA256 | Qualquer algoritmo de criptografia com suporte, exceto algoritmos AES-GCM |
ESP | Nenhum | SHA1 | Qualquer algoritmo de criptografia com suporte, exceto algoritmos AES-GCM |
ESP | Nenhum | MD5 | Qualquer algoritmo de criptografia com suporte, exceto algoritmos AES-GCM |
ESP | Nenhum | AES-GCM 128 | AES-GCM 128 |
ESP | Nenhum | AES-GCM 192 | AES-GCM 192 |
ESP | Nenhum | AES-GCM 256 | AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Nenhum |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Nenhum |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Nenhum |
AH+ESP | SHA-256 | SHA-256 | Nenhum |
AH+ESP | SHA1 | SHA1 | Nenhum |
AH+ESP | MD5 | MD5 | Nenhum |
AH+ESP | SHA256 | SHA256 | Qualquer algoritmo de criptografia com suporte, exceto algoritmos AES-GCM |
AH+ESP | SHA1 | SHA1 | Qualquer algoritmo de criptografia com suporte, exceto algoritmos AES-GCM |
AH+ESP | MD5 | MD5 | Qualquer algoritmo de criptografia com suporte, exceto algoritmos AES-GCM |
AH+ESP | AES-GMAC 128 | AES-GCM 128 | AES-GCM 128 |
AH+ESP | AES-GMAC 192 | AES-GCM 192 | AES-GCM 192 |
AH+ESP | AES-GMAC 256 | AES-GCM 256 | AES-GCM 256 |
Observação
O AES-GMAC é o mesmo que o AES-GCM com criptografia nula. Por exemplo, você pode especificar a integridade da AH para usar o AES-GMAC 128 e especificar a integridade do ESP para usar o AES-GCM 128. Essa é a única exceção à regra de que algoritmos de integridade AH e ESP devem ser idênticos.
As combinações descritas na tabela a seguir não têm suporte.
Protocolo | Integridade ah | Integridade esp | Criptografia |
---|---|---|---|
ESP | Nenhum | AES-GMAC 128 | Qualquer algoritmo de criptografia com suporte |
ESP | Nenhum | AES-GMAC 192 | Qualquer algoritmo de criptografia com suporte |
ESP | Nenhum | AES-GMAC 256 | Qualquer algoritmo de criptografia com suporte |
ESP | Nenhum | AES-GCM 128 | 1.Nenhum 2.Qualquer algoritmo de criptografia, exceto AES-GCM 128 |
ESP | Nenhum | AES-GCM 192 | 1.Nenhum 2.Qualquer algoritmo de criptografia, exceto AES-GCM 192 |
ESP | Nenhum | AES-GCM 256 | 1.Nenhum 2.Qualquer algoritmo de criptografia, exceto AES-GCM 256 |
AH+ESP | AES-GMAC 128 | AES-GMAC 128 | Qualquer algoritmo de criptografia com suporte |
AH+ESP | AES-GMAC 192 | AES-GMAC 192 | Qualquer algoritmo de criptografia com suporte |
AH+ESP | AES-GMAC 256 | AES-GMAC 256 | Qualquer algoritmo de criptografia com suporte |
Para obter mais informações sobre o Suite B, confira Pacote de Algoritmos de Segurança Nacional Comercial.
Para obter mais informações sobre regras de segurança de conexão e IPsec, consulte Firewall do Windows com Segurança Avançada e IPsec.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários