Sto cercando di capire in che modo i router che offrono la crittografia AES gestiscono le loro chiavi simmetriche. Ho pensato che avrei potuto trovare alcune informazioni negli obiettivi di sicurezza NIAP , ma Non riesco a capirlo. Queste chiavi sono autogenerate e durano per la vita del dispositivo? Sono generati tramite passphrase? Un altro modo?
Per farla breve, sembra che il documento a cui ti sei collegato si riferisca allo standard di crittografia NSA Suite B, RFC 6379. Si collega a questi due documenti, che sono mostri. Verificare IPsec, IKE e ISAKMP sarebbe più utile, ma se cerchi i dettagli sporchi:
Pubblicazione speciale NIST 800-56A: link
Pubblicazione speciale NIST 800-56B: link
In breve, la generazione di chiavi AES dipende da che cosa viene usato AES. Un buon esempio, nel framework IPsec per VPN, un router utilizza IKE (Internet Key Exchange) per creare un'associazione di sicurezza ISAKMP (Internet Security Association e Key Management Protocol). IKE negozia l'hash, l'autenticazione, il gruppo diffie-helmen, la durata della sicurezza dell'associazione e quello che stai cercando: la crittografia. (Un bel mnemonico è HAGLE)
(da Cisco)
security association - Instance of security policy and keying material applied to a data flow.
Diffie-helman in IKEv1 o IKEv2 genera le chiavi asimmetriche che proteggono la negoziazione delle chiavi simmetriche utilizzate per la crittografia, come AES, DES (deprecato) o 3DES (legacy), altre chiavi simmetriche. IKEv2 può essere trovato in RFC 4306. Le chiavi simmetriche AES vengono utilizzate piuttosto che le chiavi asimmetriche DH perché la crittografia simmetrica è molto più efficiente.
(da Cisco)
Internet Security Association and Key Management Protocol : Internet IPsec protocol that negotiates, establishes, modifies, and deletes security associations. It also exchanges key generation and authentication data (independent of the details of any specific key generation technique), key establishment protocol, encryption algorithm, or authentication mechanism. Defined in RFC 2408.
Sembra che il documento a cui ti sei collegato si riferisca allo stesso processo / simile a pagina 23 sezione 5.2.2. Pubblicazione speciale NIST 80056A. L'algoritmo DH utilizza Crittografia del logaritmo discreto . Suona Suite B: RFC 6379.
“Recommendation for PairWise Key Establishment Schemes Using Discrete Logarithm Cryptography” for elliptic curve based key establishment schemes and implementing “NIST curves” P256, P384 and [P521] (as defined in FIPS PUB 186 3, “Digital Signature Standard”)
NIST Special Publication 80056B, 'Recommendation for PairWise Key Establishment Schemes Using Integer Factorization Cryptography'for RSA based key establishment schemes]
Laddove l'impostazione della chiave basata sulla curva ellittica potrebbe riferirsi alla curva ellittica Diffie-helmen (DHEL), i gruppi 19,20 e 24 usano la curva ellittica.