Estoy tratando de entender cómo los enrutadores que ofrecen el cifrado AES administran sus claves simétricas. Pensé que sería capaz de encontrar información en objetivos de seguridad NIAP , pero No puedo resolverlo. ¿Son estas claves autogeneradas y duran toda la vida del dispositivo? ¿Se generan a través de frase de contraseña? ¿De alguna otra manera?
En pocas palabras, parece que el documento al que está vinculado hace referencia al estándar de criptografía NSA Suite B, RFC 6379. Se enlaza a estos dos documentos, que son monstruos. Echar un vistazo a IPsec, IKE e ISAKMP sería más útil, creo, pero, si está buscando los detalles sucios:
Publicación especial 800-56A de NIST: enlace
Publicación especial NIST 800-56B: enlace
Brevemente, la generación de claves AES depende de para qué se utiliza AES. Un buen ejemplo, en el marco de IPsec para VPN, un enrutador utiliza IKE (Internet Key Exchange) para crear una asociación de seguridad ISAKMP (Internet Security Association y Key Management Protocol). IKE negocia el hash, la autenticación, el grupo diffie-helmen, el tiempo de vida de la seguridad de la asociación y lo que está buscando: el cifrado. (Un buen mnemotécnico es HAGLE)
(de Cisco)
asociación de seguridad - Instancia de política de seguridad y material de claves aplicado a un flujo de datos.
Diffie-helman en IKEv1 o IKEv2 genera las claves asimétricas que protegen la negociación de las claves simétricas que se utilizan para el cifrado, como AES, DES (en desuso) o 3DES (legado), alguna otra clave simétrica. IKEv2 se puede encontrar en RFC 4306. Se usan claves simétricas AES en lugar de las claves asimétricas DH porque el cifrado simétrico es mucho más eficiente.
(de Cisco)
Asociación de seguridad de Internet y protocolo de administración de claves: Internet Protocolo IPsec que negocia, establece, modifica y elimina. asociaciones de seguridad. También intercambia generación de claves y Datos de autenticación (independientemente de los detalles de cualquier clave específica) técnica de generación), protocolo de establecimiento de claves, encriptación. Algoritmo, o mecanismo de autentificación. Definido en RFC 2408.
Parece que el documento al que está vinculado se refiere al mismo proceso / similar en la página 23 sección 5.2.2. Publicación Especial NIST 80056A. El algoritmo DH utiliza Criptografía de logaritmo discreto . Me suena a Suite B: RFC 6379.
“Recomendación para esquemas de establecimiento de claves PairWise que utilizan criptografía logarítmica discreta” para el establecimiento de claves basado en curvas elípticas esquemas e implementación de “curvas NIST” P256, P384 y [P521] (como definido en FIPS PUB 186 3, “Estándar de firma digital”)
Publicación especial NIST 80056B, 'Recomendación para clave PairWise Esquemas de establecimiento utilizando criptografía de factorización de enteros para RSA esquemas de establecimiento de claves basados]
Donde el establecimiento de clave basado en la curva elíptica podría referirse a la curva elípica de Diffie-helmen (DHEL), los grupos 19, 20 y 24 utilizan la curva elíptica.