Ho trovato la seguente domanda su internet e don ' Penso che la risposta sia giusta.
Which of the following does IPsec use?
A) SSL
B) AES
C) DES
D) PKI
La risposta data è D, PKI che è una tecnologia totalmente diversa da IPsec.
Credo che la risposta dovrebbe essere B, dato che IPsec sta usando AES come algoritmo crittografico.
Cosa ne pensi di questo? La risposta data è giusta o sbagliata?
Riferimento: link
Questo stesso questionario su Yeh Hub non è educativo come potrebbe essere. Mentre cerca di semplificare le cose complesse ponendo domande semplici con risposte giuste e sbagliate, in realtà non spiega perché queste risposte siano considerate giuste o sbagliate e lascia questa riflessione interamente all'utente. La mentalità corretta durante l'utilizzo di questo tipo di questionario sta cercando di capire i concetti e le tecnologie piuttosto che memorizzare le risposte (presumibilmente) corrette.
Una guida illustrata a IPsec di Steve Friedl spiega chiaramente perché questa domanda non è così semplice:
One cause of the complexity is that IPsec provides mechanism, not policy: rather than define such-and-such encryption algorithm or a certain authentication function, it provides a framework that allows an implementation to provide nearly anything that both ends agree upon.
Quindi, c'è davvero più di una risposta corretta a questo, e le risposte non sono limitate alle opzioni date. D'altra parte, se la domanda era Quale dei seguenti ha IPsec sempre usare? , nessuna di queste sarebbe stata vera:
SSL . Mentre IPsec funziona su layer Internet , SSL / TLS è un protocollo livello applicazione . Come cita @ecdsa, IPsec può utilizzare SSL tramite IKEv2 (EAP-TLS / TTLS / PEAP), ma non è una parte centrale di IPsec stesso; IPsec stabilisce l'autenticazione reciproca che può utilizzare SSL.
AES / DES . Solo due dei molti algoritmi di crittografia possibili che IPsec può utilizzare.
PKI . Ancora in relazione a IPsec e persino utile, ma non del tutto necessario. Le chiavi segrete possono essere configurate manualmente, quindi anche pre-condivise, senza necessità di PKI.
Quindi, tutti o nessuno sono vere. PKI potrebbe essere più vicino solo perché è coinvolto ogni volta che IKE utilizza DNSSEC per distribuire le chiavi per i protocolli di crittografia elencati nelle altre opzioni. Se la domanda fosse ulteriormente limitata usando " always ", solo l'autenticazione sarebbe stata reciproca per ogni implementazione IPsec, poiché anche la crittografia è facoltativa.
IPsec non è direttamente correlato all'infrastruttura a chiave pubblica (PKI), ovvero l'uso di certificati X.509 strutturati in autorità di certificazione (CA).
Il protocollo Internet Key Exchange (IKE), d'altra parte, che è usato per negoziare dinamicamente le SA di IPsec può usa PKI per autenticare i compagni. Ma ci sono altri metodi di autenticazione basati su chiavi pubbliche o segreti condivisi. Esistono anche metodi di autenticazione per IKEv2 come EAP-TLS / TTLS / PEAP che si basano su SSL / TLS, quindi potrebbe anche essere una risposta "corretta" alla domanda allo stesso modo di PKI (ovvero la domanda è molto ambigua). / p>
E l'algoritmo di crittografia utilizzato per le SA IPsec è un parametro configurabile (solitamente negoziato tramite IKE), quindi non esiste uno solo che IPsec (o meglio ESP) usi, sebbene ci siano alcuni algoritmi raccomandati che le implementazioni dovrebbero fornire. La crittografia è addirittura facoltativa.
Leggi altre domande sui tag public-key-infrastructure ipsec