Sicherheitszuordnung kann in CentOS 7.4 nicht mit Setkey erstellt werden

Ich wurde gebeten, die Migration von CentOS 6.8 auf 7.4 auf allen Linux-Geräten durchzuführen. Ich habe ein Problem mit dem Laden von Security Associations in den Linux-Kernel. Ich benutze dazu die Implementierung von setkey von ipsec-tools. Ursprünglich in CentOS 6.8 funktionierte dies gut mit dem definierten Schlüssel und Algorithmus (3des-cbc-192-Bit-Schlüssel) in der Datei outkeykey.conf. Ich könnte "setkey -D" eingeben und die dort aufgeführten SA sehen.

In CentOS 7.4 kann die SA nicht geladen werden. In beiden Fällen habe ich den Parameter "fips = 1" in der Grub-Befehlszeilenanweisung beim Booten festgelegt, der die FIPS-Konformität erzwingen soll. Ich habe festgestellt, dass wenn ich den Parameter "fips = 1" in der grub-Befehlszeilenanweisung auf meiner Box, auf der CentOS 7.4 ausgeführt wird, entferne, die SA erfolgreich geladen wird. Dies lässt vermuten, dass sich die Einhaltung der FIPS-Standards zwischen CentOS 6.8 und CentOS 7.4 geändert hat und dass 3des-cbc kein genehmigter Algorithmus mehr ist.

Ich habe versucht, mich von der Verwendung der ipsec-tools-Implementierung von setkey zu entfernen und es mit ip xfrm zu laden, aber ich erhalte die gleichen Ergebnisse. Ich habe noch nicht versucht, openswan zu verwenden, aber ich denke, es versucht, dasselbe zu tun, indem die SA in den Kernel geladen wird; Daher erwarte ich, dass das gleiche Problem auftritt.

Hier sind weitere Details:

SZENARIO 1:

• CentOS 6,8
• Kern: 2.6.32-642.6.2.el6.x86_64
• ipsec-tools 0.8.2-1
• Die Befehlszeile-Anweisung von Grub enthält fips = 1

Die Datei setkey.conf enthält:

# Flush the SAD and SPD flush; spdflush;  # ESP SAs using 192 bit long keys (168 + 24 parity) add 0.0.0.0 192.168.121.138 esp 0x201 -E 3des-cbc <OUR KEY>;  # Security policies spdadd 0.0.0.0/0 [any] 192.168.121.138 [1960] any -P in ipsec esp/transport//require; 

SZENARIO 2:

• CentOS 7.4
• Kern: 3.10.0-693.11.1.el7.x86_64
• ipsec-tools 0.8.2-1
• Die Befehlszeile-Anweisung von Grub enthält fips = 1
• Die Datei setkey.conf ist dieselbe wie oben.

In dieser Konfiguration gibt setkey -D die Fehlermeldung "Keine SAD-Einträge" zurück. Wenn ich versuche, die Datei "setkey.conf" mit "setkey -f /etc/setkey.conf" in den Kernel einzulesen, wird die folgende Fehlermeldung angezeigt: " Ergebnis von Zeile 10: (NULL). "

Gibt es eine bessere Möglichkeit, SAs in den Linux-Kernel zu laden? Wird 3des-cbc nicht mehr als FIPS-konform angesehen? Sollten wir zu einem anderen Verschlüsselungsalgorithmus wechseln, der FIPS-kompatibel ist? Wenn ja, welcher Algorithmus wird voraussichtlich auf absehbare Zeit konform bleiben?