¿Se permiten RADIUS y TACACS + alguna vez en escenarios compatibles con FIPS 140-2?
Entiendo que RADIUS utiliza el algoritmo de hash MD5 y estoy bastante seguro de que TACACS + también lo hace, y no creo que haya ninguna implementación de RADIUS o TACACS + que no use el hashing MD5 algoritmo. Por favor, corrígeme si me equivoco.
Y MD5 está prohibido en el estándar FIPS 140-2.
Sin embargo, encontré esto Cisco doc que menciona algo llamado" RADIUS Keywrap ", y parece implicar que podrá usar RADIUS si habilita la combinación de teclas y seguirá siendo compatible con FIPS .
Entonces ... ¿qué es RADWUS Keywrapping? ¿Significa que el algoritmo MD5 ya no se utiliza en absoluto? ¿O es que el cumplimiento de FIPS se puede mantener si se "ajusta" un algoritmo inseguro dentro de uno seguro?
Editar: Encontrado en el documento que mfinni enlazó:
RADIUS Keywrap
El soporte de RADIUS keywrap es una extensión del protocolo RADIUS. Eso proporciona un medio certificable por FIPS para el servidor de control de acceso de Cisco (ACS) para autenticar los mensajes RADIUS y distribuir las claves de sesión.
RADIUS keywrap aumenta la seguridad del protocolo RADIUS al usar el Algoritmo de envoltura de claves del Estándar de cifrado avanzado (AES) para transferir claves mientras que un algoritmo HMAC-SHA1 se utiliza para proteger la integridad del paquete. Eso especifica que la clave de cifrado de clave (KEK) y la clave de hash deben ser diferentes entre sí, no deben basarse en una contraseña, y deben ser criptográficamente independiente del secreto compartido de RADIUS utilizado en calculando el autenticador de respuesta.
OK ... eso responde eso.