Отказ HMAC GCM

369
e-sushi

Я пытаюсь настроить IPSEC GCM - вот ошибка, которую я получаю:

Error(s):  'encryption-algorithm aes-256-gcm'  1) HMAC Authentication is not compatible with AES-GCM 2) commit failed: (statements constraint check failed)  to match a CISCO config of the following Additional VPN changes: DH group 24 on phase 1 PFS-group 24 on phase 2 AES-256-CBC and SHA 256 on phase 1 AES-256-GCM and SHA 256 on phase 2. 
0
... или мы можем рассматривать это как проблему протокола и позволить Пончо ответить: P (не ожидал, что он получит краткий ответ здесь, мы можем предположить, что HMAC и GCM будут означать теги двойной аутентификации, но угадывать недостаточно. так что это может иметь больше шансов на @ сети) Maarten Bodewes 7 лет назад 0

1 ответ на вопрос

2

IPsec не позволяет вам выполнять и GCM, и ESP-SHA256-HMAC в одной и той же SA. Если вы настраиваете GCM - аутентифицированный шифр, вам не нужно выполнять HMAC.

Тег аутентификации GCM уже обеспечивает целостность сообщения и аутентификацию. Нет необходимости в вычислении HMAC для создания другого тега аутентификации.

Похожие вопросы