Description de la prise en charge des algorithmes de chiffrement Suite B ajoutés à IPsec

Cet article décrit la prise en charge des algorithmes de chiffrement Suite B ajoutés à IPsec.

Numéro de base de connaissances d’origine : 949856

La prise en charge de Windows Vista Service Pack 1 (SP1) se termine le 12 juillet 2011. Pour continuer à recevoir des mises à jour de sécurité pour Windows, vérifiez que vous exécutez Windows Vista avec Service Pack 2 (SP2). Pour plus d’informations, consultez La prise en charge se termine pour certaines versions de Windows.

Introduction

Cet article décrit la prise en charge des algorithmes de chiffrement Suite B qui ont été ajoutés dans Windows Vista Service Pack 1 (SP1) et dans Windows Server 2008. Suite B est un groupe d’algorithmes de chiffrement approuvés par la États-Unis National Security Agency (NSA).

La suite B est utilisée comme infrastructure de chiffrement interopérable pour protéger les données sensibles. La prise en charge a été étendue aux algorithmes Suite B pour les domaines suivants :

• Mode principal
• Mode rapide
• Paramètres d’authentification

Cet article décrit également la syntaxe de configuration de la stratégie IPsec (Internet Protocol Security) qui utilise des algorithmes Suite B.

Note

Ce contenu superce du contenu publié sur les algorithmes et méthodes IPsec archivés pris en charge dans Windows.

Plus d’informations

Limites de la prise en charge

Les limitations de prise en charge pour Suite B sont les suivantes :

• La création et l’application de la stratégie IPsec à l’aide d’algorithmes Suite B sont prises en charge uniquement dans Windows Vista Service Pack 1 (SP1), dans Windows Server 2008 ou dans les versions ultérieures de Windows.
• La création de stratégies qui contiennent des algorithmes Suite B est prise en charge via le composant logiciel enfichable Microsoft Management Console (MMC) « Pare-feu Windows avec sécurité avancée » pour Windows 7 et pour les versions ultérieures de Windows.
• La commande d’aide Netsh advfirewall n’affiche pas les options de configuration pour les algorithmes Suite B. Cela s’applique uniquement à Windows Vista SP1.

Définitions

• Suite B

Suite B est un ensemble de normes spécifiées par l’Agence de sécurité nationale (NSA). Suite B fournit au secteur un ensemble commun d’algorithmes de chiffrement qui peuvent être utilisés pour créer des produits qui répondent à la plus large gamme de besoins du gouvernement américain. La suite B inclut la spécification des types d’algorithmes suivants :

• Intégrité
• Chiffrement
• Échange de clés
• Signature numérique
• Normes de traitement des informations fédérales (FIPS)

FIPS est un ensemble de directives et de normes qui régissent les ressources informatiques fédérales. Tous les algorithmes de suite B sont approuvés par FIPS.

Pour plus d’informations, consultez Le Laboratoire informatique.

• NIST

  Il s’agit d’un acronyme de l’Institut national des normes et de la technologie.

• Algorithmes d’intégrité des données

  Les algorithmes d’intégrité des données utilisent des hachages de message pour s’assurer que les informations ne sont pas modifiées pendant qu’elles sont en transit.

• Algorithmes de chiffrement des données

  Les algorithmes de chiffrement des données sont utilisés pour masquer les informations transmises. Les algorithmes de chiffrement sont utilisés pour convertir du texte brut en code secret.

  Par exemple, les algorithmes de chiffrement peuvent convertir du texte brut en texte chiffré. Le texte chiffré peut ensuite être décodé en texte brut d’origine. Chaque algorithme utilise une « clé » pour effectuer la conversion. Le type de clé et la longueur de la clé dépendent de l’algorithme utilisé.

• IPsec

  Il s’agit d’une abréviation du terme « Sécurité du protocole Internet ».

  Pour plus d’informations sur IPsec, consultez Qu’est-ce que IPSec ?

• Algorithme de signature numérique à courbe elliptique (ECDSA)

  La courbe elliptique (EC) est une variante de l’algorithme de signature numérique qui fonctionne sur des groupes EC. La variante EC fournit des tailles de clés plus petites pour le même niveau de sécurité.

  Cet algorithme est décrit dans la publication FIPS 186-2. Pour afficher cette publication, consultez Digital Signature Standard (DSS).

• Autorité de certification

  Une autorité de certification est une entité qui émet des certificats numériques. IPsec peut utiliser ces certificats comme méthode d’authentification.

• En-tête d’authentification (AH)

  L’en-tête d’authentification est un protocole IPsec qui fournit des fonctionnalités d’authentification, d’intégrité et de contre-relecture pour l’ensemble du paquet. Cela inclut l’en-tête IP et la charge utile des données.

  AH ne fournit pas de confidentialité. Cela signifie que L’AH ne chiffre pas les données. Les données sont lisibles, mais elles ne sont pas modifiables.

• Encapsulating Security Payload (ESP)

  ESP est un protocole IPsec qui fournit des fonctionnalités de confidentialité, d’authentification, d’intégrité et d’anti-relecture. ESP peut être utilisé seul, ou il peut être utilisé avec AH.

Algorithmes en mode principal

Dans Windows Vista SP1 et dans Windows Server 2008, les algorithmes d’intégrité suivants sont pris en charge en plus de ces algorithmes déjà pris en charge dans la version de Windows Vista :

• SHA-256
• SHA-384

Note

L’algorithme d’échange de clés et l’algorithme de chiffrement ne sont pas modifiés.

Algorithmes en mode rapide

Dans Windows Vista SP1 et dans Windows Server 2008, les algorithmes suivants sont pris en charge en plus de ces algorithmes déjà pris en charge dans la version de Windows Vista.

Intégrité (AH ou ESP)

• SHA-256
• AES-GMAC-128
• AES-GMAC-192
• AES-GMAC-256

Intégrité et chiffrement (ESP uniquement)

• AES-GCM-128
• AES-GCM-192
• AES-GCM-256

Pour plus d’informations sur les combinaisons AH et ESP prises en charge et non prises en charge, consultez la section « Combinaisons d’algorithmes de chiffrement en mode rapide prises en charge et non prises en charge ».

Restrictions pour le mode rapide

• Le même algorithme d’intégrité doit être utilisé pour AH et ESP.
• Les algorithmes AES-GMAC sont disponibles pour un algorithme d’intégrité qui a un chiffrement Null. Par conséquent, si l’un de ces algorithmes est spécifié pour l’intégrité ESP, l’algorithme de chiffrement ne peut pas être spécifié.
• Si vous utilisez un algorithme AES-GCM, le même algorithme doit être spécifié pour l’intégrité et le chiffrement ESP.

Authentification

Dans Windows Vista SP1 et Dans Windows Server 2008, les méthodes d’authentification suivantes sont prises en charge en plus de ces méthodes d’authentification déjà prises en charge dans la version release de Windows Vista.

• Certificat d’ordinateur avec signature ECDSA-P256
• Certificat d’ordinateur avec signature ECDSA-P384>

Note

La méthode d’authentification par défaut pour Windows Vista est l’authentification RSA SecurId.

Syntaxe et exemples

Cette section décrit la syntaxe permettant d’utiliser la commande Netsh advfirewall pour ajouter et modifier les règles de sécurité de connexion. Cette section fournit également des exemples de commandes Netsh advfirewall.

Ajouter une règle de sécurité de connexion

Netsh advfirewall
Usage: add rule name=<string>
 endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>
 action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication
 [description=<string>]
 [mode=transport|tunnel (default=transport)]
 [enable=yes|no (default=yes)]
 [profile=public|private|domain|any[,...] (default=any)]
 [type=dynamic|static (default=static)]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any (default=any)]
 [port2=0-65535|any (default=any)]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any (default=any)]
 [interfacetype=wiresless|lan|ras|any (default=any)]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|
 none (default=none)]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]
 |default]

Remarks:

- The rule name should be unique, and it cannot be "all."
 - When mode=tunnel, both tunnel endpoints must be specified and must be
 the same IP version. Also, the action must be requireinrequireout.
 - At least one authentication must be specified.
 - Auth1 and auth2 can be comma-separated lists of options.
 - The "computerpsk" and "computerntlm" methods cannot be specified together
 for auth1.
 - Computercert cannot be specified with user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - Qmsecmethods can be a list of proposals separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
 - If aesgcm128, aesgcm192, or aesgcm256 is specified, it must be used for both ESP integrity and encryption. 
 - sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for certmapping and for excludecaname is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Exemple 1

Prenons l’exemple suivant d’une commande Netsh advfirewall :
Netsh advfirewall consec add rule name=test1 endpoint1=any endpoint2=any action=requestinrequestout description="Use ECDSA256 certificate and AESGMAC256 » auth1=computercert,computercertecdsap256 auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East et West Root Authority' » auth1healthcert=no auth1ecdsap256ca="C=US, O=MSFT, CN='Microsoft North, South, East et West Root Authority' » auth1ecdsap256healthcert=yes qmsecmethods=ah : aesgmac256+esp :aesgmac256-none

Cette commande crée une règle de sécurité de connexion avec les méthodes d’authentification suivantes dans le jeu d’authentification :

• La première méthode d’authentification est un certificat qui utilise la signature de certificat RSA.
• La deuxième méthode d’authentification est un certificat d’intégrité qui utilise ECDSA256 pour la signature de certificat.
• La règle de sécurité de connexion protège le trafic à l’aide de l’intégrité AH et ESP avec le nouvel algorithme AES-GMAC 256. La règle n’inclut pas le chiffrement.

Exemple 2

Prenons l’exemple suivant d’une commande Netsh advfirewall :
Netsh advfirewall consec add rule name=test2 endpoint1=any endpoint2=any action=requestinrequestout description="Use SHA 256 for Integrity and AES192 for encryption » auth1=computercert auth1ca="C=US, O=MSFT, CN='Microsoft North, South, East et West Root Authority' » auth1healthcert=no qmsecmethods=ah :sha256+esp :sha256-aes192

Cette commande crée une règle de sécurité de connexion qui a une méthode d’authentification dans le jeu d’authentification. La méthode d’authentification est un certificat qui utilise la signature de certificat RSA.

La règle de sécurité de connexion protège le trafic à l’aide de l’intégrité AH et ESP avec SHA256 pour l’intégrité et avec AES192 pour le chiffrement.

Modifier une règle de sécurité de connexion existante

Netsh advfirewall
Usage: set rule
 group=<string> | name=<string>
 [type=dynamic|static]
 [profile=public|private|domain|any[,...] (default=any)]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 new
 [name=<string>]
 [profile=public|private|domain|any[,...]]
 [description=<string>]
 [mode=transport|tunnel]
 [endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|
 <IPv4 address>|<IPv6 address>|<subnet>|<range>|<list>]
 [action=requireinrequestout|requestinrequestout|
 requireinrequireout|noauthentication]
 [enable=yes|no]
 [type=dynamic|static]
 [localtunnelendpoint=<IPv4 address>|<IPv6 address>]
 [remotetunnelendpoint=<IPv4 address>|<IPv6 address>]
 [port1=0-65535|any]
 [port2=0-65535|any]
 [protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
 [interfacetype=wiresless|lan|ras|any]
 [auth1=computerkerb|computercert|computercertecdsap256|computercertecdsap384|computerpsk|
 computerntlm|anonymous[,...]]
 [auth1psk=<string>]
 [auth1ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1healthcert=yes|no (default=no)]
 [auth1ecdsap256ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap256healthcert=yes|no (default=no)]
 [auth1ecdsap384ca="<CA Name> [certmapping:yes|no] [excludecaname:yes|no] ..."]
 [auth1ecdsap384healthcert=yes|no (default=no)]
 [auth2=computercert| computercertecdsap256|computercertecdsap384|userkerb|usercert| usercertecdsap256|usercertecdsap384|userntlm|anonymous[,...]]
 [auth2ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap256ca="<CA Name> [certmapping:yes|no] ..."]
 [auth2ecdsap384ca="<CA Name> [certmapping:yes|no] ..."]
 [qmsecmethods=
 ah:<integrity>+esp:<integrity>-<encryption>+[valuemin]+[valuekb]|
 default]

Remarks:

- This sets a new parameter value on an identified rule. The command fails
 if the rule does not exist. To create a rule, use the "add" command.
 - Values after the new keyword are updated in the rule. If there are
 no values, or if the "new" keyword is missing, no changes are made.
 - Only a group of rules can be enabled or disabled.
 - If multiple rules match the criteria, all matching rules are 
 updated.
 - The rule name should be unique, and it cannot be "all."
 - Auth1 and auth2 can be comma-separated lists of options.
 - The computerpsk and computerntlm methods cannot be specified together
 for auth1.
 - Computercert cannot be specified by using user credentials for auth2.
 - Certsigning options ecdsap256 and ecdsap384 are supported only on Windows Vista SP1 and on later versions of Windows Vista. 
 - Qmsecmethods can be a list of proposals that are separated by a comma (,).
 - For qmsecmethods, integrity=md5|sha1|sha256| aesgmac128|aesgmac192|aesgmac256|aesgcm128|aesgcm192|aesgcm256 and
 encryption=3des|des|aes128|aes192|aes256|aesgcm128| aesgcm192|aesgcm256
 - If aesgcm128 or aesgcm256 is specified, it must be used for both ESP integrity and for encryption. 
 - Sha-256, aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, and aesgcm256 are supported only on Windows Vista SP1 and on later versions of Windows Vista.
 - If qmsemethods are set to "default," qmpfs will be set to "default" also.
 - Qmpfs=mainmode uses the main mode key exchange setting for PFS.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The default value for "certmapping" and "excludecaname" is "no."
 - The quotation mark (") characters in the CA name must be replaced with a backslash character followed by a single quotation mark (\').

Voici un exemple de commande qui met à jour la règle créée dans « Exemple 1 » dans la section précédente : Netsh advfirewall consec set rule name=test new qmsecmethods=ah :aesgmac256 +esp :aesgcm256-aesgcm256 Cette commande met à jour la règle pour utiliser AES-GCM 256 pour l’intégrité et le chiffrement ESP et pour utiliser AES-GMAC 256 pour l’intégrité AH.

Définir les paramètres globaux en mode principal

Le texte d’aide suivant concerne la commande globale Netsh advfirewall set.

netsh advfirewall>set global

Usage: set global statefulftp|statefulpptp enable|disable|notconfigured
 set global IPsec (parameter) (value)
 set global mainmode (parameter) (value) | notconfigured

IPsec Parameters:

strongcrlcheck - Configures how CRL checking is enforced.
 0: Disable CRL checking
 1: Fail if cert is revoked and the CRL exists in the client's CRL cache (default behavior)and the CRL exists in the client's CRL cache (default behavior) 2: Fail on any error
 notconfigured: Returns the value to its unconfigured state.
 saidletimemin - Configures the security association idle time in
 minutes.
 - Usage: 5-60|notconfigured (default=5)
 defaultexemptions - Configures the default IPsec exemptions. The default is
 to exempt IPv6 neighbordiscovery protocol from
 IPsec.
 - Usage: none|neighbordiscovery|notconfigured

Main Mode Parameters:

mmkeylifetime - Sets the main mode key lifetime in minutes, in sessions, or in both.
 - Usage: <num>min,<num>sess
 mmsecmethods - Configures the main mode list of proposals
 - Usage:
 keyexch:enc-integrity,enc-integrity[,...]|default
 - keyexch=dhgroup1|dhgroup2|dhgroup14|
 ecdhp256|ecdhp384
 - enc=3des|des|aes128|aes192|aes256
 - integrity=md5|sha1|sha256|sha384

Remarks:

- This configures global settings, such as advanced IPsec options.
 - We recommend that you do not use DES, MD5, or DHGroup1. These
 cryptographic algorithms are provided for backward compatibility
 only.
 - The mmsecmethods keyword default sets the policy to the following:
 dhgroup2-aes128-sha1,dhgroup2-3des-sha1
 - Sha256 and sha384 are supported only on Windows Vista SP1 and on later versions of Windows Vista.

Voici un exemple de commande qui utilise les nouveaux algorithmes SHA dans le jeu de chiffrement en mode principal : Netsh advfirewall set global mainmode mmsecmethods dhgroup1:3des-sha256, 3des-sha384

Résolution des problèmes, configuration et commandes de vérification

Commande « Netsh advfirewall consec show rule all »

La règle netsh advfirewall consec show rule all command affiche la configuration pour toutes les règles de sécurité de connexion.

Voici un exemple de sortie pour cette commande.

Rule Name:test
Enabled:Yes
Profiles:Domain,Private,Public
Type:Static
Mode:Transport
Endpoint1:Any
Endpoint2:Any
Protocol:Any
Action:RequestInRequestOut
Auth1:ComputerPSK
Auth1PSK: 12345
MainModeSecMethods ECDHP384-3DES-SHA256,ECDHP384-3DES-SHA384
QuickModeSecMethodsAH:AESGMAC256+ESP:AESGCM256-AESGCM256+60 min+100000kb

Commande « Netsh advfirewall monitor show mmsa »

Le moniteur Netsh advfirewall affiche la commande mmsa affiche l’association de sécurité en mode principal.

Voici un exemple de sortie pour cette commande.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
My ID:
Peer ID:
First Auth:ComputerPSK
Second Auth:None
MM Offer: ECDHAP384-3DES-SHA256
Cookie Pair:203d57505:5d088705
Health Pair:No
Ok.

Commande « Netsh advfirewall monitor show qmsa »

La commande Netsh advfirewall show qmsa command affiche l’association de sécurité en mode rapide.

Voici un exemple de sortie pour cette commande.

Main Mode SA at 01/04/2008 13:10:09
Local IP Address:157.59.24.101
Remote IP Address: 157.59.24.119
Local Port:Any
Remote Port:Any
Protocol:Any
Direction:Both
QM Offer: AH:AESGMAC256+ESP:AESGCM256-AESGCM256+60min +100000kb
Ok.

Commande « Netsh advfirewall show global »

La commande Netsh advfirewall show global affiche les paramètres globaux.

Voici un exemple de sortie pour cette commande.

Global Settings:
IPsec:
StrongCRLCheck0:Disabled
SAIdleTimeMin5min
DefaultExemptions NeighborDiscovery
IPsecThroughNAT Server and client behind NAT

StatefulFTPEnable
StatefulPPTPEnable

Main Mode:
KeyLifetime2min,0sess
SecMethodsDHGroup1-3DES-SHA256,DHGroup1-3DES-SHA384

Interopérabilité

La création, l’application et la gestion de la stratégie IPsec qui utilise les algorithmes Suite B ont été introduits dans Windows Vista SP1 et dans Windows Server 2008. Vous pouvez gérer une stratégie de groupe qui contient des algorithmes Suite B uniquement à l’aide d’outils publiés avec Windows Vista SP1 ou Windows Server 2008.

Les exemples de scénarios et les résultats attendus sont les suivants.

Scénario 1

Vous utilisez les nouveaux algorithmes de chiffrement pour appliquer une stratégie créée sur un ordinateur exécutant Windows Server 2008 ou Windows Vista SP1 sur un ordinateur exécutant la version de Windows Vista.

Résultat attendu

Si une règle contient des suites de chiffrement qui utilisent les nouveaux algorithmes de chiffrement, ces suites de chiffrement sont supprimées et d’autres suites de chiffrement dans le jeu de chiffrement sont utilisées à la place.

Si aucune des suites de chiffrement de la règle n’est reconnue, la règle entière est supprimée. Un événement est journalisé qui indique que la règle ne peut pas être traitée. Par conséquent, si toutes les suites de chiffrement dans le jeu de chiffrement d’échange de clés sont supprimées, aucune des règles de sécurité de connexion dans la stratégie n’est appliquée. Toutefois, toutes les règles de pare-feu sont toujours appliquées.

Le processus d’ensemble d’authentification ressemble au processus de jeu de chiffrement. Si une stratégie qui contient les nouveaux indicateurs de certificat (ECDSA-P256 ou ECDSA-P384) est appliquée à un ordinateur exécutant la version release de Windows Vista, les méthodes d’authentification sont supprimées.

Si toutes les méthodes d’authentification du premier jeu d’authentification sont supprimées pour cette raison, la règle entière n’est pas traitée. Si toutes les méthodes d’authentification du deuxième jeu d’authentification sont supprimées, la règle est traitée en utilisant uniquement le premier jeu d’authentification.

Scénario 2

Sur un ordinateur exécutant la version release de Windows Vista, vous utilisez les nouveaux algorithmes de chiffrement pour afficher une stratégie créée sur un ordinateur exécutant Windows Server 2008 ou Windows Vista SP1.

Résultat attendu

Les nouveaux algorithmes s’affichent sous la forme « inconnu » dans les parties de surveillance et de création du composant logiciel enfichable MMC de sécurité avancée du pare-feu Windows. La commande Netsh advfirewall affiche également les algorithmes comme étant « inconnus » dans Windows Vista.

Restrictions sur l’interopérabilité

Les restrictions relatives à l’interopérabilité sont les suivantes :

• Nous ne prenons pas en charge la gestion à distance des stratégies qui utilisent des algorithmes Suite B sur des ordinateurs exécutant Windows Vista SP1 ou Windows Server 2008 à partir d’un ordinateur exécutant la version release de Windows Vista.
• Lorsqu’une stratégie créée sur un ordinateur exécutant Windows Vista SP1 ou Windows Server 2008 est importée sur un ordinateur exécutant la version release de Windows Vista, certaines parties de la stratégie sont supprimées. Cela se produit parce que la version release de Windows Vista ne peut pas reconnaître les nouveaux algorithmes.

Combinaisons d’algorithmes de chiffrement en mode rapide prises en charge et non prises en charge

Le tableau suivant présente les combinaisons d’algorithmes de chiffrement en mode rapide prises en charge.

Protocol	Intégrité de l’AH	Intégrité ESP	Chiffrement
AH	AES-GMAC 128	Aucun(e)	None
AH	AES-GMAC 192	Aucun(e)	None
AH	AES-GMAC 256	Aucun(e)	None
AH	SHA256	Aucun(e)	None
AH	SHA1	Aucun(e)	None
AH	MD5	Aucun(e)	None
ESP	Aucun(e)	AES-GMAC 128	Aucun(e)
ESP	Aucun(e)	AES-GMAC 192	Aucun(e)
ESP	Aucun(e)	AES-GMAC 256	Aucun(e)
ESP	Aucun(e)	SHA256	Aucun(e)
ESP	Aucun(e)	SHA1	Aucun(e)
ESP	Aucun(e)	MD5	Aucun(e)
ESP	Aucun(e)	SHA256	N’importe quel algorithme de chiffrement pris en charge, à l’exception des algorithmes AES-GCM
ESP	Aucun(e)	SHA1	N’importe quel algorithme de chiffrement pris en charge, à l’exception des algorithmes AES-GCM
ESP	Aucun(e)	MD5	N’importe quel algorithme de chiffrement pris en charge, à l’exception des algorithmes AES-GCM
ESP	Aucun(e)	AES-GCM 128	AES-GCM 128
ESP	Aucun(e)	AES-GCM 192	AES-GCM 192
ESP	Aucun(e)	AES-GCM 256	AES-GCM 256
AH+ESP	AES-GMAC 128	AES-GMAC 128	Aucun(e)
AH+ESP	AES-GMAC 128	AES-GMAC 128	Aucun(e)
AH+ESP	AES-GMAC 128	AES-GMAC 128	Aucun(e)
AH+ESP	SHA-256	SHA-256	Aucun(e)
AH+ESP	SHA1	SHA1	Aucun(e)
AH+ESP	MD5	MD5	Aucun(e)
AH+ESP	SHA256	SHA256	N’importe quel algorithme de chiffrement pris en charge, à l’exception des algorithmes AES-GCM
AH+ESP	SHA1	SHA1	N’importe quel algorithme de chiffrement pris en charge, à l’exception des algorithmes AES-GCM
AH+ESP	MD5	MD5	N’importe quel algorithme de chiffrement pris en charge, à l’exception des algorithmes AES-GCM
AH+ESP	AES-GMAC 128	AES-GCM 128	AES-GCM 128
AH+ESP	AES-GMAC 192	AES-GCM 192	AES-GCM 192
AH+ESP	AES-GMAC 256	AES-GCM 256	AES-GCM 256

Note

AES-GMAC est identique à AES-GCM avec chiffrement Null. Par exemple, vous pouvez spécifier l’intégrité AH pour utiliser AES-GMAC 128 et vous pouvez spécifier l’intégrité ESP pour utiliser AES-GCM 128. Il s’agit de la seule exception à la règle selon laquelle les algorithmes d’intégrité AH et ESP doivent être identiques.

Les combinaisons décrites dans le tableau suivant ne sont pas prises en charge.

Protocol	Intégrité de l’AH	Intégrité ESP	Chiffrement
ESP	Aucun(e)	AES-GMAC 128	Tout algorithme de chiffrement pris en charge
ESP	Aucun(e)	AES-GMAC 192	Tout algorithme de chiffrement pris en charge
ESP	Aucun(e)	AES-GMAC 256	Tout algorithme de chiffrement pris en charge
ESP	Aucun(e)	AES-GCM 128	1.None 2.Tout algorithme de chiffrement à l’exception d’AES-GCM 128
ESP	Aucun(e)	AES-GCM 192	1.None 2.Tout algorithme de chiffrement sauf AES-GCM 192
ESP	Aucun(e)	AES-GCM 256	1.None 2.Tout algorithme de chiffrement à l’exception d’AES-GCM 256
AH+ESP	AES-GMAC 128	AES-GMAC 128	Tout algorithme de chiffrement pris en charge
AH+ESP	AES-GMAC 192	AES-GMAC 192	Tout algorithme de chiffrement pris en charge
AH+ESP	AES-GMAC 256	AES-GMAC 256	Tout algorithme de chiffrement pris en charge

Pour plus d’informations sur la suite B, consultez Commercial National Security Algorithm Suite.

Pour plus d’informations sur les règles de sécurité IPsec et de connexion, consultez Pare-feu Windows avec Advanced Security et IPsec.