Descrição do suporte para algoritmos criptográficos do Suite B que foi adicionado ao IPsec

Este artigo descreve o suporte para algoritmos criptográficos do Suite B que foram adicionados ao IPsec.

Aplica-se a: Windows Server 2012 R2, Windows 7 Service Pack 1
Número de KB original: 949856

O suporte ao Windows Vista Service Pack 1 (SP1) termina em 12 de julho de 2011. Para continuar recebendo atualizações de segurança para Windows, verifique se você está executando o Windows Vista com o Service Pack 2 (SP2). Para obter mais informações, confira O suporte está terminando para algumas versões do Windows.

Introdução

Este artigo descreve o suporte para algoritmos criptográficos do Suite B que foram adicionados no Windows Vista Service Pack 1 (SP1) e no Windows Server 2008. O Suite B é um grupo de algoritmos criptográficos aprovados pela NSA (Agência de Segurança Nacional Estados Unidos).

O Suite B é usado como uma estrutura criptográfica interoperável para proteger dados confidenciais. O suporte foi estendido aos algoritmos do Suite B para as seguintes áreas:

• Modo principal
• Modo rápido
• Configurações de autenticação

Este artigo também descreve a sintaxe de configuração de política IPsec (Internet Protocol security) que usa algoritmos do Suite B.

Mais informações

Limitações de suporte

As limitações de suporte para o Suite B incluem o seguinte:

• A criação e a imposição da política IPsec usando algoritmos do Suite B só tem suporte no Windows Vista Service Pack 1 (SP1), no Windows Server 2008 ou em versões posteriores do Windows.
• A criação de políticas que contêm algoritmos do Suite B é suportada por meio do snap-in "Firewall do Windows com Segurança Avançada" do Microsoft Management Console (MMC) para Windows 7 e para versões posteriores do Windows.
• O comando de ajuda do Netsh advfirewall não exibe opções de configuração para algoritmos do Suite B. Isso se aplica apenas ao Windows Vista SP1.

Definições

• Suite B

O Suite B é um conjunto de padrões especificados pela NSA (Agência de Segurança Nacional). O Suite B fornece ao setor um conjunto comum de algoritmos criptográficos que podem ser usados para criar produtos que atendam ao maior intervalo de necessidades do governo dos EUA. O Suite B inclui a especificação dos seguintes tipos de algoritmos:

• Integridade
• Criptografia
• Troca de chaves
• Assinatura digital
• Padrões federais de processamento de informações (FIPS)

O FIPS é um conjunto de diretrizes e padrões que regem os recursos federais de computação. Todos os algoritmos do Suite B são aprovados pelo FIPS.

Para obter mais informações, consulte Laboratório de Tecnologia da Informação.

• NIST

  Este é um acrônimo para o Instituto Nacional de Padrões e Tecnologia.

• Algoritmos de integridade de dados

  Algoritmos de integridade de dados usam hashes de mensagem para garantir que as informações não sejam alteradas enquanto estiverem em trânsito.

• Algoritmos de criptografia de dados

  Algoritmos de criptografia de dados são usados para ocultar informações que estão sendo transmitidas. Os algoritmos de criptografia são usados para converter texto simples em um código secreto.

  Por exemplo, os algoritmos de criptografia podem converter texto simples em ciphertext. Em seguida, o ciphertext pode ser decodificado para o texto simples original. Cada algoritmo usa uma "chave" para executar a conversão. O tipo de chave e o comprimento da chave dependem do algoritmo que está sendo usado.

• IPSec

  Essa é uma abreviação para o termo "Segurança do Protocolo da Internet".

  Para obter mais informações sobre o IPsec, consulte O que é IPSec?

• Algoritmo de assinatura digital da curva elíptica (ECDSA)

  A curva elíptica (EC) é uma variante do algoritmo de assinatura digital que opera em grupos de EC. A variante EC fornece tamanhos de chave menores para o mesmo nível de segurança.

  Esse algoritmo é descrito na publicação FIPS 186-2. Para exibir esta publicação, consulte DSS (Digital Signature Standard).

• Autoridade de certificação (CA)

  Uma autoridade de certificação é uma entidade que emite certificados digitais. O IPsec pode usar esses certificados como um método de autenticação.

• Cabeçalho de autenticação (AH)

  O Cabeçalho de Autenticação é um protocolo IPsec que fornece autenticação, integridade e funcionalidade anti-replay para todo o pacote. Isso inclui o cabeçalho IP e a carga de dados.

  A AH não fornece confidencialidade. Isso significa que a AH não criptografa os dados. Os dados são legíveis, mas não podem ser substituídos.

• Encapsulando a esp (carga de segurança)

  ESP é um protocolo IPsec que fornece confidencialidade, autenticação, integridade e funcionalidade anti-replay. O ESP pode ser usado sozinho ou pode ser usado junto com a AH.

Algoritmos de modo principal

No Windows Vista SP1 e no Windows Server 2008, há suporte para os seguintes algoritmos de integridade, além dos algoritmos que já têm suporte na versão de versão do Windows Vista:

• SHA-256
• SHA-384

Algoritmos de modo rápido

No Windows Vista SP1 e no Windows Server 2008, há suporte para algoritmos a seguir, além dos algoritmos que já têm suporte na versão de versão do Windows Vista.

Integridade (AH ou ESP)

• SHA-256
• AES-GMAC-128
• AES-GMAC-192
• AES-GMAC-256

Integridade e criptografia (somente ESP)

• AES-GCM-128
• AES-GCM-192
• AES-GCM-256

Para obter mais informações sobre combinações AH e ESP com suporte e sem suporte, confira a seção "Combinações de algoritmo criptográfico de modo rápido com suporte e sem suporte".

Restrições para o modo Rápido

• O mesmo algoritmo de integridade deve ser usado para AH e ESP.
• Os algoritmos AES-GMAC estão disponíveis para um algoritmo de integridade que tem criptografia nula. Portanto, se algum desses algoritmos for especificado para integridade esp, o algoritmo de criptografia não poderá ser especificado.
• Se você usar um algoritmo AES-GCM, o mesmo algoritmo deverá ser especificado para integridade e criptografia esp.

Autenticação

No Windows Vista SP1 e no Windows Server 2008, os seguintes métodos de autenticação têm suporte, além dos métodos de autenticação que já têm suporte na versão de versão do Windows Vista.

• Certificado de computador com assinatura ECDSA-P256
• Certificado de computador com assinatura ECDSA-P384>

O método de autenticação padrão do Windows Vista é a autenticação RSA SecurId.

Sintaxe e exemplos

Esta seção descreve a sintaxe para usar o comando Netsh advfirewall para adicionar e modificar regras de segurança de conexão. Esta seção também fornece exemplos de comandos do Netsh advfirewall.

Adicionar uma regra de segurança de conexão

Netsh advfirewall
Usage: add rule name=<string>
 endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication
 [description=<string>]
 [mode=transport|tunnel (default=transport)]
 [enable=yes|no (default=yes)]
 [profile=public|private|domain|any[,...] (default=any)]
 [type=dynamic|static (default=static)]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any (default=any)]
 [port2=0-65535|any (default=any)]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
 [interfacetype=wiresless|lan|ras|any (default=any)]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
 none (default=none)]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
 |default]

Remarks:

- The rule name should be unique, and it cannot be "all."
 - When mode=tunnel, both tunnel endpoints must be specified and must be
 the same IP version. Also, the action must be requireinrequireout.
 - At least one authentication must be specified.
 - Auth1 and auth2 can be comma-separated lists of options.
 - The "computerpsk" and "computerntlm" methods cannot be specified together
 for auth1.
 - Computercert cannot be specified with user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - Qmsecmethods can be a list of proposals separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
 - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption. 
 - sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for certmapping and for excludecaname is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Exemplo 1

Considere o exemplo a seguir de um comando netsh advfirewall:
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256" auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East e West Root Authority'" auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East e West Root Authority'" auth1ecdsap256healthcert=yes qmsecmethods=ah: aesgmac256+esp:aesgmac256-none

Este comando cria uma regra de segurança de conexão que tem os seguintes métodos de autenticação no conjunto de autenticação:

• O primeiro método de autenticação é um certificado que usa a assinatura de certificado RSA.
• O segundo método de autenticação é um certificado de integridade que usa ECDSA256 para assinatura de certificado.
• A regra de segurança de conexão protege o tráfego usando a integridade de AH e ESP com o novo algoritmo AES-GMAC 256. A regra não inclui criptografia.

Exemplo 2

Considere o exemplo a seguir de um comando netsh advfirewall:
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption" auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East e West Root Authority'" auth1healthcert=no qmsecmethods=ah:sha256+esp:sha256-aes192

Esse comando cria uma regra de segurança de conexão que tem um método de autenticação no conjunto de autenticação. O método de autenticação é um certificado que usa a assinatura de certificado RSA.

A regra de segurança de conexão protege o tráfego usando a integridade de AH e ESP com SHA256 para integridade e com o AES192 para criptografia.

Modificar uma regra de segurança de conexão existente

Netsh advfirewall
Usage: set rule
 group=<string> | name=<string>
 [type=dynamic|static]
 [profile=public|private|domain|any[,...] (default=any)]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 new
 [name=<string>]
 [profile=public|private|domain|any[,...]]
 [description=<string>]
 [mode=transport|tunnel]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication]
 [enable=yes|no]
 [type=dynamic|static]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 [interfacetype=wiresless|lan|ras|any]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
 default]

Remarks:

- This sets a new parameter value on an identified rule. The command fails
 if the rule does not exist. To create a rule, use the "add" command.
 - Values after the new keyword are updated in the rule. If there are
 no values, or if the "new" keyword is missing, no changes are made.
 - Only a group of rules can be enabled or disabled.
 - If multiple rules match the criteria, all matching rules are 
 updated.
 - The rule name should be unique, and it cannot be "all."
 - Auth1 and auth2 can be comma-separated lists of options.
 - The computerpsk and computerntlm methods cannot be specified together
 for auth1.
 - Computercert cannot be specified by using user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmsecmethods can be a list of proposals that are separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
 - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption. 
 - Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - If qmsemethods are set to "default," qmpfs will be set to "default" also.
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for "certmapping" and "excludecaname" is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

A seguir está um exemplo de um comando que atualiza a regra criada em "Exemplo 1" na seção anterior: Netsh advfirewall consec set rule name=test new qmsecmethods=ah:aesgmac256+esp:aesgcm256-aesgcm256 Este comando atualiza a regra para usar o AES-GCM 256 para integridade e criptografia ESP e usar o AES-GMAC 256 para integridade AH.

Definir configurações globais do modo principal

O texto de ajuda a seguir é para o comando global do conjunto netsh advfirewall.

netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
 set global IPsec (parameter) (value)
 set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

strongcrlcheck - Configures how CRL checking is enforced.
 0: Disable CRL checking
 1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
 notconfigured: Returns the value to its unconfigured state.
 saidletimemin - Configures the security association idle time in
 minutes.
 - Usage: 5-60|notconfigured (default=5)
 defaultexemptions - Configures the default IPsec exemptions. The default is
 to exempt IPv6 neighbordiscovery protocol from
 IPsec.
 - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
 - Usage: <num>min,<num>sess
 mmsecmethods - Configures the main mode list of proposals
 - Usage:
 keyexch:enc-integrity,enc-integrity[,...]|default
 - keyexch=dhgroup1|dhgroup2|dhgroup14|
 ecdhp256|ecdhp384
 - enc=3des|des|aes128|aes192|aes256
 - integrity=md5|sha1|sha256|sha384

Remarks:

- This configures global settings, such as advanced IPsec options.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The mmsecmethods keyword default sets the policy to the following:
 dhgroup2-aes128-sha1,dhgroup2-3des-sha1
 - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.

Veja a seguir um exemplo de um comando que usa os novos algoritmos SHA no conjunto criptográfico do modo principal: Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384

Solução de problemas, configuração e comandos de verificação

O comando "Netsh advfirewall consec show rule all"

O consec do advfirewall do Netsh mostra que todos os comandos exibem a configuração para todas as regras de segurança de conexão.

A seguir está um exemplo de saída para este comando.

Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

O comando "Netsh advfirewall monitor show mmsa"

O monitor advfirewall do Netsh mostra que o comando mmsa exibe a associação de segurança do modo principal.

A seguir está um exemplo de saída para este comando.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.

O comando "Netsh advfirewall monitor show qmsa"

O monitor do Advfirewall do Netsh mostra que o comando qmsa exibe a associação de segurança do modo rápido.

A seguir está um exemplo de saída para este comando.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.

O comando "Netsh advfirewall show global"

O advfirewall do Netsh mostra que o comando global exibe configurações globais.

A seguir está um exemplo de saída para este comando.

Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT

StatefulFTPEnable
StatefulPPTPEnable

Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interoperabilidade

A criação, a imposição e o gerenciamento da política IPsec que usa algoritmos do Suite B foram introduzidos no Windows Vista SP1 e no Windows Server 2008. Você pode gerenciar um Política de Grupo que contém algoritmos do Suite B apenas usando ferramentas que foram lançadas com o Windows Vista SP1 ou com o Windows Server 2008.

Cenários de exemplo e resultados esperados são os seguintes.

Cenário 1

Você usa os novos algoritmos criptográficos para aplicar uma política criada em um computador que está executando o Windows Server 2008 ou o Windows Vista SP1 a um computador que está executando a versão de versão do Windows Vista.

Resultado esperado

Se uma regra contiver pacotes criptográficos que usam os novos algoritmos criptográficos, esses pacotes criptográficos serão descartados e outros pacotes criptográficos no conjunto criptográfico serão usados.

Se nenhum dos pacotes criptográficos na regra for reconhecido, toda a regra será descartada. Um evento é registrado que indica que a regra não pode ser processada. Portanto, se todos os pacotes criptográficos no conjunto de criptografia de troca de chaves forem descartados, nenhuma das regras de segurança de conexão na política será aplicada. No entanto, todas as regras de firewall ainda são aplicadas.

O processo de conjunto de autenticação se assemelha ao processo de conjunto criptográfico. Se uma política que contém os novos sinalizadores de certificado (ECDSA-P256 ou ECDSA-P384) for aplicada a um computador que está executando a versão de versão do Windows Vista, os métodos de autenticação serão descartados.

Se todos os métodos de autenticação no primeiro conjunto de autenticação forem descartados por esse motivo, toda a regra não será processada. Se todos os métodos de autenticação no segundo conjunto de autenticação forem descartados, a regra será processada usando apenas o primeiro conjunto de autenticação.

Cenário 2

Em um computador que está executando a versão de versão do Windows Vista, você usa os novos algoritmos criptográficos para exibir uma política criada em um computador que está executando o Windows Server 2008 ou o Windows Vista SP1.

Resultado esperado

Os novos algoritmos são exibidos como "desconhecidos" nas partes de monitoramento e criação do snap-in MMC de Segurança Avançada do Firewall do Windows. O comando Netsh advfirewall também exibe os algoritmos como "desconhecidos" no Windows Vista.

Restrições à interoperabilidade

As restrições à interoperabilidade são as seguintes:

• Não oferecemos suporte ao gerenciamento remoto de políticas que usam algoritmos do Suite B em computadores que executam o Windows Vista SP1 ou o Windows Server 2008 de um computador que está executando a versão de versão do Windows Vista.
• Quando uma política criada em um computador que está executando o Windows Vista SP1 ou Windows Server 2008 é importada para um computador que está executando a versão de versão do Windows Vista, algumas partes da política são descartadas. Isso ocorre porque a versão de versão do Windows Vista não pode reconhecer os novos algoritmos.

Combinações de algoritmo criptográfico de modo rápido com suporte e sem suporte

A tabela a seguir mostra combinações de algoritmo criptográfico de modo rápido com suporte.

As combinações descritas na tabela a seguir não têm suporte.

Para obter mais informações sobre o Suite B, confira Pacote de Algoritmos de Segurança Nacional Comercial.

Para obter mais informações sobre regras de segurança de conexão e IPsec, consulte Firewall do Windows com Segurança Avançada e IPsec.