HMAC GCM-Fehler

477
e-sushi

Ich versuche, für IPSEC GCM zu konfigurieren. Dies ist der Fehler, den ich ständig bekomme:

Error(s):  'encryption-algorithm aes-256-gcm'  1) HMAC Authentication is not compatible with AES-GCM 2) commit failed: (statements constraint check failed)  to match a CISCO config of the following Additional VPN changes: DH group 24 on phase 1 PFS-group 24 on phase 2 AES-256-CBC and SHA 256 on phase 1 AES-256-GCM and SHA 256 on phase 2. 
0
... oder wir können es als Protokoll behandeln und Poncho antworten lassen: P (hätte nicht erwartet, dass es hier eine prägnante Antwort geben würde, können wir vermuten, dass HMAC und GCM doppelte Authentifizierungs-Tags bedeuten würden, aber das Erraten reicht nicht aus - so könnte es mehr eine Chance @ Networking haben) Maarten Bodewes vor 7 Jahren 0

1 Antwort auf die Frage

2

IPsec erlaubt es nicht, GCM und ESP-SHA256-HMAC in derselben SA auszuführen. Wenn Sie GCM - eine authentifizierte Chiffre - konfigurieren, müssen Sie HMAC nicht ausführen.

Das Authentifizierungs-Tag von GCM bietet bereits Nachrichtenintegrität und Authentifizierung. Es ist keine HMAC-Berechnung erforderlich, um ein weiteres Authentifizierungs-Tag zu erstellen.