In che modo StrongSwan abilita diverse librerie crittografiche?
Per impostazione predefinita, strongSwan utilizza le proprie implementazioni per gli algoritmi crittografici. Questi sono forniti da ad es. i plugin aes , sha1 e sha2 . L'implementazione predefinita per la crittografia a chiave pubblica (RSA, DH) è fornita dal plugin gmp , che si basa su libgmp .
Abilitare i plug-in openssl o gcrypt , mentre non crea o non carica i plug-in predefiniti, consente di sostituire le implementazioni predefinite con quelle fornite dalle rispettive librerie ( libcrypto / OpenSSL o libgcrypt ). Le caratteristiche reali fornite da questi plugin dipendono da come è stata costruita la libreria sottostante, ad esempio, se OpenSSL è stato creato con il supporto per Crittografia a curve ellittiche (ECDSA, ECDH).
Puoi controllare quali caratteristiche ogni plugin fornisce con ipsec listplugins
dopo aver avviato il daemon IKE con ipsec start
. L'implementazione attualmente utilizzata per ogni primitiva crittografica può essere elencata con ipsec listalgs
(ciò dipende dall'ordine in cui vengono caricati i plug-in, verrà utilizzata la prima implementazione).
È importante notare che questi plugin sono utilizzati solo per lo scambio di chiavi (IKE, ike
keyword in ipsec.conf). Il traffico ESP viene gestito direttamente dallo stack IPsec del sistema operativo, ad esempio il kernel Linux, che fornisce un proprio framework crittografico modulare.
I parametri che è possibile utilizzare in ipsec.conf
dipendono solo dalla disponibilità di un algoritmo specifico, fornito da qualsiasi plugin (IKE) o dal kernel del sistema operativo (ESP). Tutti gli algoritmi / parole chiave supportati e la loro disponibilità nei plugin e nel kernel (Linux) possono essere trovati sulla wiki di strongSwan .
A meno che non abbiate una ragione pressante, suggerirei che se state provando a configurare qualcosa come un tunnel IPSEC per la prima volta, attenetevi ai valori predefiniti il più possibile, renderà il processo più facile.
Detto questo se hai bisogno di usare gcrypt con strongswan, hanno esempi di configurazione per quello scenario sul loro sito qui
Leggi altre domande sui tag ipsec