Mi pregunta es, en qué carga útil (transformación o propuesta) el iniciador especifica el algoritmo de cifrado que se usará en la Fase 2. Supongamos que PFS está desactivado en este caso para simplificar la explicación.
Entiendo que para la Fase 1, el algoritmo de cifrado se especifica en la carga útil de transformación y que el mecanismo de cifrado utilizado en la Fase 1 y la Fase 2 puede ser diferente.
Pasé un tiempo tratando de encontrar esto, pero fallé.
Los mecanismos difieren para IKEv1 e IKEv2 y si se crea la Fase 2 inicial (CHILD_SA) o si se crea / reencaza una más adelante.
Con IKEv1 / ISAKMP cada IPsec SA se crea con un intercambio de modo rápido, que contiene las cargas útiles de SA, propuesta y transformación utilizadas para negociar los algoritmos (consulte RFC 2408, sección 4.2 ). Estos algoritmos no tienen que ser los mismos que los utilizados para ISAKMP SA. PRF se habilita mediante la negociación de un grupo DH y el establecimiento de un secreto compartido con un intercambio DH. Por lo tanto, ya la primera fase 2 SA puede negociar material clave independiente de la fase 1 SA.
Con IKEv2 ya se ha creado un CHILD_SA inicial con el intercambio IKE_AUTH. Los algoritmos se negocian con cargas útiles de SA que contienen subestructuras de propuestas y de transformación (no cargas completas). Al igual que con IKEv1, los algoritmos negociados no tienen que ser los mismos que los de IKE_SA. Sin embargo, dado que el material clave para este SA inicial se deriva de las claves IKE, negociadas con un intercambio DH durante el intercambio IKE_SA_INIT, nunca se negociará un grupo DH para este SA (consulte RFC 7296, fin de la sección 1.2 ). Para establecer CHILD_SAs adicionales o para cambiar las claves existentes, se utilizan los intercambios CREATE_CHILD_SA. La carga útil utilizada para transportar las propuestas / algoritmos es la misma carga útil de SA utilizada durante los intercambios iniciales. En estos intercambios, se puede negociar un grupo DH y se puede usar un intercambio DH para crear material clave que sea independiente de las claves IKE.
Lea otras preguntas en las etiquetas encryption ipsec