¿Cómo puede StrongSwan habilitar diferentes bibliotecas criptográficas?
De forma predeterminada, strongSwan utiliza sus propias implementaciones para algoritmos criptográficos. Estos son proporcionados por ej. los complementos aes , sha1 y sha2 . La implementación predeterminada para la criptografía de clave pública (RSA, DH) la proporciona el complemento gmp , que se basa en libgmp .
Habilitando los complementos openssl o gcrypt , mientras no se crean o no se cargan los complementos predeterminados, permite reemplazar las implementaciones predeterminadas con las proporcionadas por las bibliotecas respectivas ( libcrypto / OpenSSL o libgcrypt ). Las características reales proporcionadas por estos complementos dependen de cómo se construyó la biblioteca subyacente, por ejemplo, si OpenSSL se creó con soporte para criptografía de curva elíptica (ECDSA, ECDH).
Puede verificar qué características proporciona cada complemento con ipsec listplugins
después de iniciar el demonio IKE con ipsec start
. La implementación utilizada actualmente para cada primitiva criptográfica puede enumerarse con ipsec listalgs
(esto depende del orden en que se cargan los complementos; se usará la primera implementación).
Es importante tener en cuenta que estos complementos solo se usan para el intercambio de claves (IKE, palabra clave ike
en ipsec.conf). El tráfico ESP se maneja directamente mediante la pila IPsec del sistema operativo, por ejemplo, el kernel de Linux, que proporciona su propio marco de cifrado modular.
Los parámetros que puede usar en ipsec.conf
dependen solo de la disponibilidad de un algoritmo específico, ya sea proporcionado por cualquiera de los complementos (IKE) o por el kernel del sistema operativo (ESP). Todos los algoritmos / palabras clave compatibles y su disponibilidad en complementos y kernel (Linux) se pueden encontrar en en la wiki de strongSwan .
A menos que tenga una razón urgente, sugeriría que si intenta configurar algo como un túnel IPSEC por primera vez, mantenga los valores predeterminados lo más posible, hará que el proceso más fácil.
Dicho esto, si necesita usar gcrypt con strongswan, tienen ejemplos de configuración para ese escenario en su sitio aquí
Lea otras preguntas en las etiquetas ipsec