Mi comprensión de IKE es que la primera fase de IKE consiste en autenticar a los interlocutores de IPSec y negocia las SA de IKE durante esta fase para que puedan configurar un canal seguro para negociar las SA de IPSec en la fase 2. Y una vez que finaliza la segunda fase, la conexión se cifrarán y autenticarán utilizando el conjunto de cifrado que acordaron durante la fase dos (SAI de IPSec).
Aquí están mis preguntas de dos partes:
1) ¿Por qué necesitamos la fase 1? ¿Por qué usar la fase dos no es suficiente para asegurar la conexión del túnel (es decir, si creemos que AES y SHA pueden proporcionar confidencialidad, integridad y DH puede ayudar al interlocutor a intercambiar PSK de manera asimétrica), por qué nos molestamos en "ocultar" "¿Qué suite de cifrado estamos usando?
2) ¿Está lo suficientemente seguro matemáticamente para usar la fase 1 de la suite de cifrado menos segura? (Si no es así, ¿puede alguien explicarme cómo me funciona la primera fase de IKE?)