внезапное, про ipsec

Alex Korchmar написал(а) к All в Mar 15 01:31:20 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Народ, а я правильно из чтения этой херни: http://tinyurl.com/pvqb9uz
делаю вывод, что ipsec во freebsd вообще непригоден ни к какому практическому
применению, если данные имеют хоть какую-то ценность, поскольку до сих
пор не поддерживает AES-шифрование. Вообще. Никак. Даже в current.

Нет, это вот реально такой п-ц ?


> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Alex Korchmar в Mar 15 14:12:04 по местному времени:

04 мар 2015, среда, в 02:31 NOVT, Alex Korchmar написал(а):

AK> Народ, а я правильно из чтения этой херни: http://tinyurl.com/pvqb9uz
AK> делаю вывод, что ipsec во freebsd вообще непригоден ни к какому практическому
AK> применению, если данные имеют хоть какую-то ценность, поскольку до сих
AK> пор не поддерживает AES-шифрование. Вообще. Никак. Даже в current.
AK> Нет, это вот реально такой п-ц ?

Во-первых, man aesni и man setkey говорят о поддержке AES даже в 8.4-STABLE.
Во-вторых, почему из якобы отсутствия поддержки AES следует полная
непригодность? Ещё есть blowfish, rijndael, camllia.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.1 (FreeBSD)

Alex Korchmar написал(а) к Eugene Grosbein в Mar 15 13:15:49 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

AK>> применению, если данные имеют хоть какую-то ценность, поскольку до сих
AK>> пор не поддерживает AES-шифрование. Вообще. Никак. Даже в current.
AK>> Нет, это вот реально такой п-ц ?
EG> Во-первых, man aesni и man setkey говорят о поддержке AES
а попытка -E aes-ctr говорит об обратном. Как и код по ссылке.
Маны скопипижены с kame project, в котором, разумеется, работало. В линуксе они
точно такие же, и там не работает примерно половина заявленного.
(но вот aes - вполне себе как написано)

EG> Во-вторых, почему из якобы отсутствия поддержки AES следует полная
EG> непригодность? Ещё есть blowfish, rijndael, camllia.
"если данные представляют какую-либо реальную ценность"
Все эти протоколы либо сомнительно надежны при разумной длине ключа,
либо вообще никем не исследовались. Ну и самое скверное - никем кроме
уникальных ребят из kame они не поддерживаются и не будут никогда.


> Alex

--- ifmail v.2.15dev5.4

Sergey Anohin написал(а) к Alex Korchmar в Mar 15 22:10:03 по местному времени:

Нello, Alex!

SA>> Вpанье?
> хз. Я не понимаю, что тут написано и как оно работает.
> Вот такое показать кто-нибудь сможет с bsd'шной системы?
> srv!root# setkey -D

(pts/1)[root@server:~]# setkey -D
85.113.221.175 2.94.182.182
esp mode=any spi=3066865780(0xb6cca874) reqid=0(0x00000000)
E: rijndael-cbc 51071db4 db7408d4 a252fa2c eb083c35
A: hmac-sha1 ee318634 940d35b2 19ee0735 30ce0a92 ddab9fe2
seq=0x00000023 replay=4 flags=0x00000000 state=mature
created: Mar 4 22:05:22 2015 current: Mar 4 22:05:53 2015
diff: 31(s) hard: 3600(s) soft: 2880(s)
last: Mar 4 22:05:42 2015 hard: 0(s) soft: 0(s)
current: 5112(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 35 hard: 0 soft: 0
sadb_seq=1 pid=1515 refcnt=2
2.94.182.182 85.113.221.175
esp mode=transport spi=90206104(0x05606f98) reqid=0(0x00000000)
E: rijndael-cbc 6684513d 70994f41 72c379cd 0244e323
A: hmac-sha1 095e5a53 3e788348 ae8f7808 2640355d f3d4599a
seq=0x000000f8 replay=4 flags=0x00000000 state=mature
created: Mar 4 22:05:22 2015 current: Mar 4 22:05:53 2015
diff: 31(s) hard: 3600(s) soft: 2880(s)
last: Mar 4 22:05:53 2015 hard: 0(s) soft: 0(s)
current: 50023(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 248 hard: 0 soft: 0
sadb_seq=0 pid=1515 refcnt=1
(pts/1)[root@server:~]#

(pts/1)[root@server:~]# uname -a
FreeBSD server 10.1-RELEASE-p5 FreeBSD 10.1-RELEASE-p5 #0 r278499M: Tue Feb 10 14:59:46 MSK 2015 root@server:/usr/obj/usr/src/sys/SERVER i386
(pts/1)[root@server:~]#

кусман ифконфига:
ng1: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1396
inet 10.1.1.1 --> 10.1.1.100 netmask 0xffffffff
inet6 fe80::4e00:10ff:fe13:10a6%ng1 prefixlen 64 scopeid 0xc
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>


С наилучшими пожеланиями, Sergey Anohin.

--- wfido

Alex Korchmar написал(а) к Sergey Anohin в Mar 15 09:37:44 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Sergey Anohin <Sergey.Anohin@p1.f10.n5034.z2.fidonet.org> wrote:

SA> E: rijndael-cbc 51071db4 db7408d4 a252fa2c eb083c35
я спрашивал - aes.


> Alex

--- ifmail v.2.15dev5.4

Sergey Anohin написал(а) к Alex Korchmar в Mar 15 19:55:28 по местному времени:

Нello, Alex!

SA>> E: rijndael-cbc 51071db4 db7408d4 a252fa2c eb083c35
> я спрашивал - aes.

где включить? :)

С наилучшими пожеланиями, Sergey Anohin.

--- wfido

Alex Korchmar написал(а) к Sergey Anohin в Mar 15 21:22:39 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Sergey Anohin <Sergey.Anohin@p1.f10.n5034.z2.fidonet.org> wrote:

SA>>> E: rijndael-cbc 51071db4 db7408d4 a252fa2c eb083c35
>> я спрашивал - aes.
SA> где включить? :)
для простоты - вручную создать ключи. Тот что я показывал, создан примерно
такой командой:
add 172.16.31.5 172.16.31.6 esp 0xcda8 -m tunnel -E aes-ctr
0x123456789012345678911111111111111111111111111111111111122222222222222222;
(тщательно считаем байтики, ключи у aes на 32 бита длиннее rijndael'евых,
из-за особенностей реализации)

На фре она выпадает с маловнятной диагностикой про что-тотам unsupported.


> Alex

--- ifmail v.2.15dev5.4

Sergey Anohin написал(а) к Alex Korchmar в Mar 15 09:51:31 по местному времени:

Нello Alex* *Korchmar
SA>>>> E: rijndael-cbc 51071db4 db7408d4 a252fa2c eb083c35
>>> я спpашивал - aes.
SA>> где включить? :)
AK> для пpостоты - вpучную создать ключи. Тот что я показывал, создан
AK> пpимеpно такой командой:
AK> add 172.16.31.5 172.16.31.6 esp 0xcda8 -m tunnel -E aes-ctr
AK> 0x12345678901234567891111111111111111111111111111111111112222222
AK> 2222222222; (тщательно считаем байтики, ключи у aes на 32 бита длиннее
AK> rijndael'евых, из-за особенностей pеализации)
AK> На фpе она выпадает с маловнятной диагностикой пpо что-тотам unsupported.

Скажи полностью синтакс куда и что вписать надо, я дебаг вpублю. Бегло почитал
маны но не осилил с утpа :)

Bye, Alex Korchmar, 06 маpта 15
--- FIPS/IP <build 01.14>

Victor Sudakov написал(а) к Sergey Anohin в Mar 15 16:00:58 по местному времени:

Dear Sergey,

06 Mar 15 09:51, you wrote to Alex Korchmar:

SA> Скажи полностью синтакс куда и что вписать надо, я дебаг вpублю. Бегло
SA> почитал маны но не осилил с утpа :)

Я в racoon.conf попробовал заменить "3des" на "aes". Результат странный. Связь есть. Но в "setkey -D" вместо "E: 3des-cbc" стало "E: rijndael-cbc", а никакой не aes.

IPSec в данном случае между 9.3-RELEASE и 8.4-RELEASE.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20110223-b20110223

Alex Korchmar написал(а) к Victor Sudakov в Mar 15 20:35:36 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:

VS> есть. Но в "setkey -D" вместо "E: 3des-cbc" стало "E: rijndael-cbc",
VS> а никакой не aes.
нда, подозреваю, с циской они не договорятся.

> Alex

--- ifmail v.2.15dev5.4