IP Security (IPsec) vs Public Key Infrastructure (PKI)

0

Ho trovato la seguente domanda su internet e don ' Penso che la risposta sia giusta.

Which of the following does IPsec use?

    A) SSL
    B) AES
    C) DES
    D) PKI 

La risposta data è D, PKI che è una tecnologia totalmente diversa da IPsec.

Credo che la risposta dovrebbe essere B, dato che IPsec sta usando AES come algoritmo crittografico.

Cosa ne pensi di questo? La risposta data è giusta o sbagliata?

Riferimento: link

    
posta Sabrina 09.04.2018 - 07:43
fonte

2 risposte

1

Questo stesso questionario su Yeh Hub non è educativo come potrebbe essere. Mentre cerca di semplificare le cose complesse ponendo domande semplici con risposte giuste e sbagliate, in realtà non spiega perché queste risposte siano considerate giuste o sbagliate e lascia questa riflessione interamente all'utente. La mentalità corretta durante l'utilizzo di questo tipo di questionario sta cercando di capire i concetti e le tecnologie piuttosto che memorizzare le risposte (presumibilmente) corrette.

Una guida illustrata a IPsec di Steve Friedl spiega chiaramente perché questa domanda non è così semplice:

One cause of the complexity is that IPsec provides mechanism, not policy: rather than define such-and-such encryption algorithm or a certain authentication function, it provides a framework that allows an implementation to provide nearly anything that both ends agree upon.

Quindi, c'è davvero più di una risposta corretta a questo, e le risposte non sono limitate alle opzioni date. D'altra parte, se la domanda era Quale dei seguenti ha IPsec sempre usare? , nessuna di queste sarebbe stata vera:

  • SSL . Mentre IPsec funziona su layer Internet , SSL / TLS è un protocollo livello applicazione . Come cita @ecdsa, IPsec può utilizzare SSL tramite IKEv2 (EAP-TLS / TTLS / PEAP), ma non è una parte centrale di IPsec stesso; IPsec stabilisce l'autenticazione reciproca che può utilizzare SSL.

  • AES / DES . Solo due dei molti algoritmi di crittografia possibili che IPsec può utilizzare.

  • PKI . Ancora in relazione a IPsec e persino utile, ma non del tutto necessario. Le chiavi segrete possono essere configurate manualmente, quindi anche pre-condivise, senza necessità di PKI.

Quindi, tutti o nessuno sono vere. PKI potrebbe essere più vicino solo perché è coinvolto ogni volta che IKE utilizza DNSSEC per distribuire le chiavi per i protocolli di crittografia elencati nelle altre opzioni. Se la domanda fosse ulteriormente limitata usando " always ", solo l'autenticazione sarebbe stata reciproca per ogni implementazione IPsec, poiché anche la crittografia è facoltativa.

    
risposta data 09.04.2018 - 11:14
fonte
1

IPsec non è direttamente correlato all'infrastruttura a chiave pubblica (PKI), ovvero l'uso di certificati X.509 strutturati in autorità di certificazione (CA).

Il protocollo Internet Key Exchange (IKE), d'altra parte, che è usato per negoziare dinamicamente le SA di IPsec può usa PKI per autenticare i compagni. Ma ci sono altri metodi di autenticazione basati su chiavi pubbliche o segreti condivisi. Esistono anche metodi di autenticazione per IKEv2 come EAP-TLS / TTLS / PEAP che si basano su SSL / TLS, quindi potrebbe anche essere una risposta "corretta" alla domanda allo stesso modo di PKI (ovvero la domanda è molto ambigua). / p>

E l'algoritmo di crittografia utilizzato per le SA IPsec è un parametro configurabile (solitamente negoziato tramite IKE), quindi non esiste uno solo che IPsec (o meglio ESP) usi, sebbene ci siano alcuni algoritmi raccomandati che le implementazioni dovrebbero fornire. La crittografia è addirittura facoltativa.

    
risposta data 09.04.2018 - 10:25
fonte

Leggi altre domande sui tag