Dialogové okno: Přidat nebo upravit algoritmy integrity a šifrování

Protokol ESP (Encapsulating Security Payload) zajišťuje utajení datové části IP (včetně ověření, integrity a znemožnění reprodukce). Protokol ESP v transportním režimu nepodepisuje celý paket. Chráněna je jen datová část protokolu IP, nikoli hlavička IP. Protokol ESP lze použít samostatně nebo v kombinaci s protokolem AH (Authentication Header). Při použití protokolu ESP je do výpočtu hodnoty hash zahrnuta jen hlavička, koncová a datová část protokolu ESP. Protokol ESP poskytuje služby utajení pomocí šifrování datové části ESP jedním z podporovaných šifrovacích algoritmů. Služby pro reprodukci paketu se zajišťují prostřednictvím pořadového čísla zahrnutého do každého paketu.

Tato možnost slučuje zabezpečení pomocí protokolu ESP s protokolem AH. Protokol AH zajišťuje ověření, integritu a ochranu proti reprodukci celého paketu (v paketu se přenáší hlavička i datová část protokolu IP).

	Důležité informace
	Protokol AH není slučitelný s překladem síťové adresy (NAT), protože zařízení NAT potřebují změnit informace v hlavičkách paketů. Chcete-li umožnit, aby přenosy založené na protokolu IPsec procházely zařízením NAT, je nutné zajistit v účastnických počítačích protokolu IPsec podporu rozhraní NAT Traversal (NAT-T).

Pro počítače s touto verzí systému Windows jsou k dispozici následující šifrovací algoritmy. Některé z těchto algoritmů nejsou k dispozici v počítačích s dřívějšími verzemi systému Windows. Pokud musíte vytvářet připojení chráněná protokolem IPsec u počítačů s dřívějšími verzemi Windows, použijte možnosti algoritmů, které jsou kompatibilní s dřívější verzí.

Další informace naleznete v článku Algoritmy protokolu IPsec a metody podporované v systému Windows (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?LinkID=129230).

• AES-GCM 256
  
  
• AES-GCM 192
  
  
• AES-GCM 128
  
  
• AES-CBC 256
  
  
• AES-CBC 192
  
  
• AES-CBC 128
  
  
• 3DES
  
  
• DES
  
  

	Zabezpečení - Poznámka
	Použití algoritmu DES nedoporučujeme. Je poskytován pouze kvůli zpětné kompatibilitě.

	Poznámka
	Pokud zadáte pro šifrování algoritmus AES-GCM, je třeba zadat stejný algoritmus pro integritu.

Pro počítače s touto verzí systému Windows jsou k dispozici následující algoritmy integrity. Některé z těchto algoritmů nejsou k dispozici v počítačích s jinými verzemi Windows. Pokud musíte vytvářet připojení chráněná protokolem IPsec u počítačů s dřívějšími verzemi Windows, použijte možnosti algoritmů, které jsou kompatibilní s dřívější verzí.

Další informace naleznete v článku Algoritmy protokolu IPsec a metody podporované v systému Windows (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?LinkID=129230).

• AES-GCM 256
  
  
• AES-GCM 192
  
  
• AES-GCM 128
  
  
• AES-GMAC 256
  
  
• AES-GMAC 192
  
  
• AES-GMAC 128
  
  
• SHA-1
  
  
• MD5
  
  

	Zabezpečení - Poznámka
	Použití algoritmu MD5 nedoporučujeme. Je poskytován pouze kvůli zpětné kompatibilitě.

	Poznámka
	Pokud zadáte pro integritu algoritmus AES-GCM, je třeba zadat stejný algoritmus pro šifrování.

Pomocí tohoto nastavení můžete nakonfigurovat, jak dlouho (v minutách) vydrží klíč používaný v přidružení zabezpečení rychlého režimu. Po této době bude vygenerován nový klíč. V následné komunikaci se bude používat nový klíč.

Maximální životnost je 2 879 minut (48 hodin). Minimální životnost je 5 minut. Doporučujeme generovat nové klíče pouze tak často, jak to vyžaduje analýza rizik. Příliš časté generování klíčů může mít dopad na výkon.

Pomocí tohoto nastavení můžete nakonfigurovat, kolik kilobajtů (kB) dat bude odesláno pomocí daného klíče. Po dosažení této prahové hodnoty se počitadlo vynuluje a bude vygenerován nový klíč. V následné komunikaci se bude používat nový klíč.

Maximální životnost je 2 147 483 647 kB. Minimální životnost je 20 480 kB. Doporučujeme generovat nové klíče pouze tak často, jak to vyžaduje analýza rizik. Příliš časté generování klíčů může mít dopad na výkon.