红帽全球峰会6.2. Libreswan 身份验证方法
Libreswan 支持以下验证方法:
- 预共享密钥
- 预共享密钥(PSK)方法通过使用同一 secret 相互验证而涉及两个端点。PSK 提供简单和广泛的兼容性,使其适合小规模部署。但是,如果密钥被重复使用或没有频繁轮转,则管理 PSK 会带来风险。对于安全性,PSK 应该包含超过 64 个随机字符,如果主机在 FIPS 模式下运行,则必须满足 FIPS 强度要求。
- 原始 RSA 密钥
- 此方法在每个对等点上使用 RSA 公钥和私钥对进行相互识别。原始 RSA 密钥提供比 PSK 更强的安全性,对于不需要完整证书基础架构的环境来说是理想的选择。
- X.509 证书
- 此方法使用由可信证书颁发机构(CA)发布的 X.509 证书。每个对等点使用其证书和私钥来证明其身份,另一个对等点针对受信任的 CA 进行验证。在为大型企业提供最高级别的安全性和可扩展性时,这种方法更为复杂,因为它需要部署和维护一个公钥基础设施(PKI)。
- NULL 身份验证
- 这个方法只提供对等点之间没有身份验证的加密。由于它不验证远程端点的身份,因此 NULL 身份验证是不安全的,不提供针对中间人攻击的保护。
- 保护量子计算机
- 虽然不是独立的身份验证方法,但 Libreswan 提供 Post-quantum Pre-shared Keys (PPK),来保护现代 IKEv2 连接免受量子计算机的未来攻击。这个功能是必要的,因为旧的 IKEv1 协议或标准 IKEv2 本身都不具备固有的抗量子性。PPK 在主身份验证方法之上增加了另一个安全层,其安全依赖于使用通过外部通信渠道安全分发的加密强密钥。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}