Authentification et chiffrement dans IPsec

Les protocoles de sécurité IPsec font appel à deux types d'algorithmes : les algorithmes d'authentification et les algorithmes de chiffrement. Le module AH recourt aux algorithmes d'authentification. Le module ESP peut utiliser aussi bien les algorithmes d'authentification que les algorithmes de chiffrement. La commande ipsecalgs affiche la liste des algorithmes présents sur le système, ainsi que leurs propriétés. Pour plus d'informations, reportez-vous à la page de manuel ipsecalgs(1M) Vous pouvez aussi utiliser les fonctions décrites dans la page de manuel getipsecalgbyname(3NSL)pour obtenir les propriétés des algorithmes.

Pour accéder aux algorithmes sur un système Solaris, IPsec fait appel à la structure cryptographique Solaris. Celle-ci offre un référentiel central d'algorithmes, en plus d'autres services. Elle permet à IPsec de tirer profit des accélérateurs cryptographiques hautes performances et offre des fonctions de contrôle de ressources. Par exemple, la structure permet de limiter le temps CPU consacré aux opérations cryptographiques dans le noyau.

Pour plus d'informations, consultez les références suivantes :

• Chapitre 13, Oracle Solaris Cryptographic Framework (Overview) du System Administration Guide: Security Services

• Chapitre 8, Introduction to the Oracle Solaris Cryptographic Framework du Oracle Solaris Security for Developers Guide

Algorithmes d'authentification dans IPsec

Les algorithmes d'authentification génèrent une valeur de somme de contrôle d'intégrité, digest, à partir des données et d'une clé. Le module AH recourt aux algorithmes d'authentification. Le module ESP peut également y avoir recours.

Algorithmes de chiffrement dans IPsec

Les algorithmes de chiffrement chiffrent les données à l'aide d'une clé. Dans IPsec, le module ESP fait appel aux algorithmes de chiffrement. Les algorithmes agissent sur les données dans des unités d'une taille de bloc.

Les diverses versions du SE Solaris10 offrent différents algorithmes de chiffrement par défaut.

À partir de la version Solaris 10 7/07, n'ajoutez plus Solaris Encryption Kit à votre système. Le kit effectue une mise à niveau inférieure du patch de chiffrement de votre système. Le kit n'est pas compatible avec le chiffrement de votre système.

• À partir de la version Solaris 10 7/07, le contenu de Solaris Encryption Kit est installé par le support d'installation Solaris. Cette version intègre les algorithmes d'authentification SHA2 suivants : sha256, sha384 et sha512. Les implémentations SHA2 sont conformes à la spécification RFC 4868. Cette version ajoute également des groupes Diffie-Hellman plus grands : 2 048 bits (groupe 14), 3 072 bits (groupe 15) et 4 096 bits (groupe 16). Notez que les systèmes Sun alliés à la technologie CoolThreads permettent d'accélérer les groupes de 2 048 bits uniquement.

• Dans les versions antérieures à Solaris 10 7/07, le support d'installation Solaris n'offre que des algorithmes de base ; toutefois, Solaris Encryption Kit vous permet d'ajouter des algorithmes plus avancés.

  Par défaut, les algorithmes DES-CBC, 3DES-CBC, AES-CBC et Blowfish-CBC sont installés. Les tailles de clé prises en charge par les algorithmes AES-CBC et Blowfish-CBC ne peuvent excéder 128 bits.

  Les algorithmes AES-CBC et Blowfish-CBC prenant en charge les tailles de clé supérieures à 128 bits sont disponibles dans IPsec si vous installez le kit de chiffrement Solaris. Toutefois, certains algorithmes de chiffrement ne sont pas disponibles en dehors des États-Unis. Le kit est disponible sur un CD distinct qui ne fait pas partie du coffret d'installation Solaris10. Pour l'installer, consultez le document Solaris 10 Encryption Kit Installation Guide. Pour plus d'informations, reportez-vous au centre de téléchargement Sun. Pour télécharger le kit, cliquez sur l'onglet Downloads A-Z, puis sur la lettre S. Solaris 10 Encryption Kit fait partie des 20 premières entrées.