Awaria HMAC GCM

0

Próbuję skonfigurować dla IPSEC GCM - jest to błąd, który wciąż pojawia się:

Error(s): 
'encryption-algorithm aes-256-gcm'

1) HMAC Authentication is not compatible with AES-GCM
2) commit failed: (statements constraint check failed) 
to match a CISCO config of the following
Additional VPN changes:
DH group 24 on phase 1
PFS-group 24 on phase 2
AES-256-CBC and SHA 256 on phase 1
AES-256-GCM and SHA 256 on phase 2.
vpn authentication ipsec aes e-sushi
źródło
... lub możemy potraktować to jako problem z protokołem i pozwolić Poncho odpowiedzieć: P (nie spodziewałem się, że uzyska tutaj zwięzłą odpowiedź, możemy zgadywać, że HMAC i GCM oznaczałyby podwójne tagi uwierzytelnienia, ale zgadywanie nie wystarczy - więc może mieć więcej okazji @ networking)
Maarten Bodewes

Odpowiedzi:

2

Protokół IPsec nie pozwala wykonywać zarówno GCM, jak i ESP-SHA256-HMAC na tym samym SA. Jeśli konfigurujesz GCM - uwierzytelniony szyfr, nie musisz wykonywać HMAC.

Tag uwierzytelniania GCM już zapewnia integralność i uwierzytelnianie wiadomości. Nie ma potrzeby obliczania HMAC w celu utworzenia kolejnego znacznika uwierzytelnienia.


źródło