Mi chiedo quanto spesso un terminale debba eseguire un hash crittografico (ex: SHA) per tutta la durata di una sessione IPSEC in cui entrambe le estremità sono autenticate usando i certificati. Da quello che posso raccogliere e dal punto di vista del cliente:
- Un client si connette a un server, recupera il certificato ed esegue una funzione di crittografia asimmetrica (es: RSA) e SHA per convalidare la firma del certificato
-
Il client e il server eseguono Diffie-Hellman per concordare su una chiave simmetrica ciò che andrà bene per ore usando le rispettive chiavi pubbliche dove suppongo che usino le funzioni RSA e SHA altre 4 volte
-
Entrambi hanno uno per ore usando rigorosamente AES e la chiave simmetrica per crittografare il carico utile che l'integrità può essere verificata all'interno del payload utilizzando un semplice CRC. Non tutti i pacchetti sono firmati (altrimenti RSA sarebbe richiesto ogni volta e Diffie-Hellman sarebbe inutile).
Quindi la mia ipotesi sarebbe che RSA e SHA vengano usati solo cinque volte alla connessione e probabilmente quattro volte ogni volta che la chiave simmetrica viene rinnovata (tipicamente ogni 24 ore, anche se presumo che il tunnel precedentemente stabilito possa essere usato per rinnovare il chiave simmetrica). È corretto? Mi è stato detto che non possiamo usare SHA-2 su una piattaforma a causa della mancanza di supporto dell'acceleratore crittografico. Grazie.