IKEv1 Phase 1, аутентификация с подписью, отправка сертификатов «опционально»

hadz

22.06.2023, 13:15

В RFC2409, раздел 5.1, заголовок аутентификации выглядит так:

HDR*, IDii, [ CERT ] SIG_I

HDR — это заголовок ISAKMP, типом обмена которого является режим. Когда записанный как HDR*, он указывает на шифрование полезной нагрузки.

IDii - это идентификатор инициатора

[CERT] означает, что отправка сертификата необязательна

SIG_I — подпись инициатора.

Почему отправка полезной нагрузки сертификата не является обязательной? Как просто отправить подпись достаточно для аутентификации?

0 + 0

Рейтинг:1

Crypto

Marc Ilunga

23.06.2023, 10:34

Многие платформы обмена ключами с проверкой подлинности (AKE) позволяют заранее узнать сертификат/долговременный открытый ключ партнера по связи. Это используется, например, в облегченных AKЕ, чтобы максимально снизить требования к полосе пропускания. Другой пример, когда сертификаты не отправляются: https://datatracker.ietf.org/wg/lake/about/.

0 + 0

poncho

23.06.2023, 17:49

Оглядываясь назад на опасения, которые у них были в 1998 году, они не особо заботились о пропускной способности - их беспокоила сложность PKI (которая тогда была еще хуже, чем сейчас; у них не было современных инструментов)...

Ответить

Рейтинг:1

Crypto

poncho

22.06.2023, 13:37

Почему отправка полезной нагрузки сертификата не является обязательной? Как просто отправить подпись достаточно для аутентификации?

Я считаю, что цель состояла в том, чтобы поддержать случаи, когда у вас нет PKI и, следовательно, нет сертификатов. В таких ситуациях вы должны настроить открытый ключ однорангового узла на каждом устройстве; в этом конкретном случае подписи было достаточно (поскольку подлинный открытый ключ уже был известен).

0 + 0

Admin

Этот вопрос на других языках:

EN: IKEv1 Phase 1, authentication with signature, sending certificates "optionally"

TH: IKEv1 Phase 1, การพิสูจน์ตัวตนด้วยลายเซ็น, การส่งใบรับรอง "ทางเลือก"

RO: IKEv1 Faza 1, autentificare cu semnătură, trimitere certificate „opțional”

RU: IKEv1 Phase 1, аутентификация с подписью, отправка сертификатов «опционально»

VI: IKEv1 Giai đoạn 1, xác thực bằng chữ ký, gửi chứng chỉ "tùy chọn"

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.