Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Descripción de los conjuntos criptográficos Suite B y PRIME

 

Suite B es un conjunto de algoritmos de cifrado designados por la Agencia de seguridad nacional de EE. UU. para permitir que los productos comerciales protejan el tráfico clasificado en los niveles secreto o secreto principal. Los protocolos del conjunto B se definen en RFC 6379, Suite B de paquetes criptográficos para IPsec. Los conjuntos criptográficos Suite B proporcionan integridad y confidencialidad para encapsular carga de seguridad (ESP) y deben utilizarse cuando se requiere protección de integridad ESP y cifrado. Requisitos de protocolo para cifrado IP modular (PRIME), un perfil IPsec definido para redes del sector público en el Reino Unido, se basa en la serie de servicios criptográficos Suite B, pero utiliza AES-GCM en vez de AES-CBC para las negociaciones de IKEv2.

Se admiten los siguientes conjuntos criptográficos:

  • Suite-B-GCM-128

    • SENSORIAL El cifrado de la norma de cifrado avanzado (AES) con claves de 128 bits y el valor de comprobación de la integridad de 16 octetos (ICV) en el modo de contador Galois (GCM).

    • ICR: Cifrado AES con claves de 128 bits en modo de encadenamiento de bloques de cifrado (CBC), integridad mediante autenticación SHA-256, establecimiento de claves con grupo Diffie-Hellman (DH) 19 y autenticación usando el algoritmo de firma digital de curva elíptica (ECDSA) 256 elíptica de bits firmas de curva.

  • Suite-B-GCM-256

    • SENSORIAL Cifrado AES con claves de 256 bits y ICV de 16 octetos en GCM para ESP.

    • ICR: Cifrado AES con claves de 256 bits en modo CBC, integridad mediante autenticación SHA-384, establecimiento de claves con el grupo DH 20 y autenticación con firmas de curvas elípticas de 384 de bits de ECDSA.

  • PRIME-128

    • SENSORIAL Cifrado AES con claves de 128 bits y ICV de 16 octetos en GCM.

    • ICR: Cifrado AES con claves de 128 bits en GCM, el establecimiento de claves con el grupo DH 19 y la autenticación con firmas de curvas elípticas de 256 bits de ECDSA.

  • PRIME-256

    • SENSORIAL Cifrado AES con claves de 256 bits y ICV de 16 octetos en GCM para ESP.

    • ICR: Cifrado AES con claves de 256 bits en GCM, el establecimiento de claves con el grupo DH 20 y la autenticación con firmas de curvas elípticas de 384 bits de ECDSA.

Los conjuntos criptográficos Suite-B son compatibles con IKEv1 e IKEv2. Los conjuntos criptográficos PRIMOs solo admiten IKEv2.

Nota

Las series B y PRIME no son totalmente compatibles con dispositivos de SRX3400 y SRX3600, y SRX5400, SRX5600 y SRX5800 dispositivos que no tienen SPC2 (SRX5K-SPC-4-14-320). (La compatibilidad con la plataforma depende de la versión Junos OS de la instalación). Puede configurar ICR con opciones de Suite B en estos dispositivos, pero no se admiten las opciones de AES-GCM. Si configura ICR con opciones de Suite B en estos dispositivos, el establecimiento de VPN es más lento porque los dispositivos no tienen los procesadores de hardware que pueden acelerar el procesamiento de algoritmos del conjunto de programas B.

Nota

Los conjuntos de programas B y PRIME no son compatibles con la función Group VPNv2.

Las opciones de CLI son compatibles con Suite B y con la configuración de propuestas de IPsec en ICR y

  • Para las propuestas de ICR configuradas en el nivel de jerarquía [edit security ike proposal proposal-name]:

    • authentication-algorithmlas opciones sha-256 incluyen sha-384y.

    • authentication-methodlas opciones ecdsa-signatures-256 incluyen ecdsa-signatures-384y.

    • dh-grouplas opciones group19 incluyen group20y.

    • encryption-algorithmOpciones de inclusión aes-128-gcm de PRIMAs primos y aes-256-gcm.

      Nota

      Cuando aes-128-gcm se aes-256-gcm configuran algoritmos de cifrado o de codificación en la propuesta IPSec, no es obligatorio configurar el algoritmo de cifrado AES-GCM en la propuesta de ICR correspondiente.

  • Para las propuestas IPSec configuradasedit security ipsec proposal proposal-nameen el nivel de encryption-algorithm jerarquía [ aes-128-gcm] aes-192-gcm, las aes-256-gcmopciones incluyen,, y.

  • Para las directivas IPsec configuradasedit security ipsec policy policy-nameen el nivel de jerarquía perfect-forward-secrecy keys [] group19 , group20las opciones incluyen y.

  • Por comodidad, las propuestas predefinidas que proporcionan el cumplimiento consuiteb-gcm-128 las suiteb-gcm-256series B (andprime-128 ) prime-256y Prime (and) estánedit security ike policy policy-namedisponibles en losedit security ipsec policy policy-nameniveles de jerarquía [] y [].

Nota

Las opciones ecdsa-signatures-384 de supervisión de criptografía y de cifrado de VPN (para autenticación de ICR) y grupo DH 20 consumen una cantidad considerable de recursos de CPU. Si la supervisión de VPN ecdsa-signatures-384 y group20 las opciones y se utilizan en un dispositivo serie SRX con un gran número de túneles configurados, el dispositivo serie SRX debe tener instalado spc2.

Temas relacionados