Me pregunto con qué frecuencia un terminal necesita realizar un hash criptográfico (por ejemplo, SHA) durante toda la vida útil de una sesión IPSEC donde ambos extremos se autentican mediante certificados. Desde lo que puedo reunir y desde la perspectiva del cliente:
- Un cliente se conecta a un servidor, obtiene su certificado y realiza una función de encriptación asimétrica (por ejemplo, RSA) y SHA para validar la firma del certificado
-
El cliente y el servidor ejecutan Diffie-Hellman para acordar una clave simétrica, lo que será bueno durante horas usando las claves públicas de cada uno en las que asumiría que usan las funciones RSA y SHA 4 veces más
-
Ambos llevan uno durante horas usando estrictamente AES y la clave simétrica para cifrar la carga útil, cuya integridad se puede verificar dentro de la carga útil utilizando un CRC simple. No todos los paquetes están firmados (de lo contrario, se requeriría RSA cada vez y Diffie-Hellman no tendría sentido).
Por lo tanto, mi suposición sería que RSA y SHA se usan solo cinco veces en la conexión y posiblemente cuatro veces cada vez que se renueve la clave simétrica (generalmente cada 24 horas, aunque supongo que el túnel previamente establecido podría usarse para renovar el clave simétrica). ¿Es esto correcto? Me dijeron que no podemos usar SHA-2 en una plataforma debido a la falta de soporte del acelerador criptográfico. Gracias.