web-dev-qa-db-ja.com

IKEv1 / IKEv2 / IPsecにカスタムDHパラメータを使用することは可能ですか?

WebサーバーにTLSを最も安全に展開する方法を調査しているときに、カスタムDHパラメーターの使用が重要な側面の1つであることを学びました。

現在、IKE/IPSECを展開しています。私が理解している限り、IKEv1とIKEv2は、標準化されたグループ名で示される標準のDHパラメータのみをサポートします。

これは、IKEv1/2(openssl dhparamによって生成される)に独自のカスタムDHパラメーターを使用できないことを意味しますか?

diffie-hellmanipsecike
1
Binarus

これは、IKEv1/2(openssl dhparamによって生成される)に独自のカスタムDHパラメーターを使用できないことを意味しますか?

はい、事前定義されたMODPおよびECP DHグループのみがIKEで使用できます。 IKEv2 および IKEv1 のリストはIANAにあります。

相互運用性を気にしない場合は、もちろん、独自のグループを定義し、私用の範囲の識別子を使用できます。

1
ecdsa