Παράθυρο διαλόγου: Προσθήκη ή επεξεργασία αλγορίθμων ακεραιότητας και κρυπτογράφησης

Χρησιμοποιήστε αυτό το παράθυρο διαλόγου, το οποίο είναι διαθέσιμο κατά τη διαπραγμάτευση συσχετίσεων ασφαλείας γρήγορης λειτουργίας, για να ρυθμίσετε τις παραμέτρους ενός αλγόριθμου ο οποίος περιλαμβάνει και ακεραιότητα δεδομένων και εμπιστευτικότητα δεδομένων (κρυπτογράφηση). Πρέπει να καθορίσετε το πρωτόκολλο και τον αλγόριθμο που χρησιμοποιούνται για να προστατέψετε την ακεραιότητα των δεδομένων στο πακέτο του δικτύου.

Η ασφάλεια πρωτοκόλλου Internet (IPsec) παρέχει ακεραιότητα υπολογίζοντας έναν κατακερματισμό που δημιουργείται από τα δεδομένα στο πακέτο δικτύου. Στη συνέχεια, ο κατακερματισμός υπογράφεται κρυπτογραφικά (κρυπτογράφηση) και ενσωματώνεται στο πακέτο IP. Ο υπολογιστής που λαμβάνει χρησιμοποιεί τον ίδιο αλγόριθμο για να υπολογίσει τον κατακερματισμό και συγκρίνει το αποτέλεσμα με τον κατακερματισμό που είναι ενσωματωμένος στο πακέτο που λαμβάνει. Αν ταιριάζει, τότε οι πληροφορίες που λαμβάνονται είναι ίδιες με αυτές που στέλνονται και έτσι το πακέτο είναι αποδεκτό. Αν δεν ταιριάζει, το πακέτο απορρίπτεται.

Ο κατακερματισμός ενός εκπεμπόμενου μηνύματος καθιστά υπολογιστικά αδύνατη την αλλαγή του μηνύματος χωρίς να παρουσιαστεί ασυμφωνία με τον κατακερματισμό. Αυτό είναι κρίσιμο όταν η ανταλλαγή δεδομένων γίνεται μέσω ενός μη ασφαλούς δικτύου όπως είναι το Internet και παρέχει έναν τρόπο να γνωρίζουμε ότι το μήνυμα δεν έχει αλλάξει κατά τη μεταβίβαση.

Επιπλέον της προστασίας ακεραιότητας, αυτό το παράθυρο διαλόγου σας δίνει τη δυνατότητα να καθορίσετε έναν αλγόριθμο κρυπτογράφησης ο οποίος βοηθά να μην γίνεται ανάγνωση των δεδομένων αν το πακέτου δικτύου υποκλέπτεται κατά τη μεταβίβασή του.

Πώς μπορείτε να μεταβείτε σε αυτό το παράθυρο διαλόγου

Στη σελίδα του συμπληρωματικού προγράμματος MMC του Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας, στην επιλογή Επισκόπηση, κάντε κλικ στο στοιχείο Ιδιότητες τείχους προστασίας Windows.
Κάντε κλικ στην καρτέλα Ρυθμίσεις IPsec.
Στο στοιχείο Προεπιλογές IPsec, κάντε κλικ στην επιλογή Προσαρμογή.
Στο στοιχείο Προστασία δεδομένων (γρήγορη λειτουργία), επιλέξτε Για προχωρημένους και στη συνέχεια κάντε κλικ στην επιλογή Προσαρμογή.
Στο στοιχείο Ακεραιότητα και κρυπτογράφηση δεδομένων, επιλέξτε έναν συνδυασμό αλγορίθμων από τη λίστα και κάντε κλικ στις επιλογές Επεξεργασία ή Προσθήκη.

Πρωτόκολλο

Τα παρακάτω πρωτόκολλα χρησιμοποιούνται για την ενσωμάτωση των πληροφοριών ακεραιότητας και κρυπτογράφησης σε ένα πακέτο IP.

ESP (συνιστάται)

Το πρωτόκολλο Ωφέλιμο φορτίο συμπύκνωσης ασφαλείας (Encapsulating Security Payload - ESP) παρέχει εμπιστευτικότητα (συμπληρωματικά προς τον έλεγχο ταυτότητας, την ακεραιότητα και την αντί-αναπαραγωγή) για το ωφέλιμο φορτίο ΙΡ. Το ESP στην κατάσταση λειτουργίας μεταφοράς δεν υπογράφει ολόκληρο το πακέτο. Προστατεύεται μόνον το ωφέλιμο φορτίο IP, και όχι η κεφαλίδα ΙΡ. Το ESP μπορεί να χρησιμοποιηθεί μόνο του ή σε συνδυασμό με το πρωτόκολλο Κεφαλίδα ελέγχου ταυτότητας (Αuthentication Header - AH). Με το ESP, ο υπολογισμός του αλγορίθμου κατακερματισμού περιλαμβάνει μόνον την κεφαλίδα ESP, το trailer και το ωφέλιμο φορτίο. Το ESP παρέχει υπηρεσίες εμπιστευτικότητας δεδομένων, κρυπτογραφώντας το ωφέλιμο φορτίο ESP με έναν από τους υποστηριζόμενους αλγορίθμους κρυπτογράφησης. Υπηρεσίες αναπαραγωγής πακέτου παρέχονται μέσω της συμπερίληψης ενός αριθμού ακολουθίας για κάθε πακέτο.

ESP και AH

Αυτή η επιλογή συνδυάζει την ασφάλεια του πρωτοκόλλου ESP με το πρωτόκολλο ΑΗ. Το ΑΗ παρέχει έλεγχο ταυτότητας, ακεραιότητα και αντι-αναπαραγωγή για ολόκληρο το πακέτο (τόσο για την κεφαλίδα ΙΡ όσο και για το ωφέλιμο φορτίο δεδομένων που μεταφέρεται από το πακέτο).

Σημαντικό

Το πρωτόκολλο ΑΗ δεν είναι συμβατό με μετάφραση διεύθυνσης δικτύου (ΝΑΤ), επειδή οι συσκευές ΝΑΤ χρειάζεται να αλλάζουν τις πληροφορίες στις κεφαλίδες των πακέτων. Για να επιτρέψετε στην κυκλοφορία που στηρίζεται στην ασφάλεια ΙΡ να περάσει από μια συσκευή ΝΑΤ, πρέπει να διασφαλίσετε ότι οι ομότιμοι υπολογιστές ΙΡsec υποστηρίζουν IPsec διέλευση ΝΑΤ (NAT-T).

Αλγόριθμοι

Αλγόριθμος κρυπτογράφησης

Οι ακόλουθοι αλγόριθμοι κρυπτογράφησης είναι διαθέσιμοι σε υπολογιστές που χρησιμοποιούν αυτήν την έκδοση των Windows. Κάποιοι από αυτούς τους αλγόριθμούς δεν είναι διαθέσιμοι σε υπολογιστές που χρησιμοποιούν προγενέστερες εκδόσεις των Windows. Πρέπει να δημιουργήσετε συνδέσεις που προστατεύονται από IPsec με έναν υπολογιστή που χρησιμοποιεί μια προγενέστερη έκδοση των Windows, στη συνέχεια πρέπει να συμπεριλάβετε επιλογές αλγορίθμων που είναι συμβατοί με την προγενέστερη έκδοση.

Για περισσότερες πληροφορίες, ανατρέξτε στην επιλογή Αλγόριθμοι IPsec και μέθοδοι που υποστηρίζονται στα Windows (η σελίδα ενδέχεται να υπάρχει στα Αγγλικά) (https://go.microsoft.com/fwlink/?LinkID=129230).

AES-GCM 256
AES-GCM 192
AES-GCM 128
AES-CBC 256
AES-CBC 192
AES-CBC 128
3DES
DES

	Ασφάλεια Σημείωση
	Σας συνιστούμε να μην χρησιμοποιείτε DES. Παρέχεται μόνο για συμβατότητα με παλαιότερα προγράμματα.

	Σημείωση
	Αν καθορίσετε έναν αλγόριθμο AES-GCM για κρυπτογράφηση, τότε πρέπει να καθορίσετε τον ίδιο αλγόριθμο για ακεραιότητα.

Αλγόριθμος ακεραιότητας

Οι ακόλουθοι αλγόριθμοι ακεραιότητας είναι διαθέσιμοι σε υπολογιστές που χρησιμοποιούν αυτήν την έκδοση των Windows. Κάποιοι από αυτούς τους αλγόριθμούς δεν είναι διαθέσιμοι σε υπολογιστές που χρησιμοποιούν άλλες εκδόσεις των Windows. Πρέπει να δημιουργήσετε συνδέσεις που προστατεύονται από IPsec με έναν υπολογιστή που χρησιμοποιεί μια προγενέστερη έκδοση των Windows, στη συνέχεια πρέπει να συμπεριλάβετε επιλογές αλγορίθμων που είναι συμβατοί με την προγενέστερη έκδοση.

AES-GCM 256
AES-GCM 192
AES-GCM 128
AES-GMAC 256
AES-GMAC 192
AES-GMAC 128
SHA-1
MD5

	Ασφάλεια Σημείωση
	Σας συνιστούμε να μην χρησιμοποιείτε MD5. Παρέχεται μόνο για συμβατότητα με παλαιότερα προγράμματα.

	Σημείωση
	Αν καθορίσετε έναν αλγόριθμο AES-GCM για ακεραιότητα, τότε πρέπει να καθορίσετε τον ίδιο αλγόριθμο για κρυπτογράφηση.

Διάρκεια ζωής κλειδιών

Οι ρυθμίσεις διάρκειας ζωής καθορίζουν πότε θα δημιουργηθεί ένα νέο κλειδί. Η διάρκεια ζωής σάς επιτρέπει να επιβάλετε τη δημιουργία ενός νέου κλειδιού έπειτα από συγκεκριμένο χρονικό διάστημα ή έπειτα από συγκεκριμένο όγκο δεδομένων που έχουν μεταβιβαστεί. Για παράδειγμα, εάν η επικοινωνία διαρκεί 100 λεπτά και έχετε καθορίσει τη διάρκεια ζωής του κλειδιού στα 10 λεπτά, κατά την ανταλλαγή θα δημιουργηθούν 10 κλειδιά (ένα κάθε 10 λεπτά). Η χρήση πολλών κλειδιών εξασφαλίζει ότι η επικοινωνία δεν θα κινδυνεύσει εάν κάποιος επιτιθέμενος καταφέρει να αποκτήσει το κλειδί για ένα τμήμα της επικοινωνίας αυτής.

Σημείωση

Αυτή η αναδημιουργία κλειδιών αφορά μόνο στην ακεραιότητα και την κρυπτογράφηση δεδομένων γρήγορης λειτουργίας και δεν επηρεάζει τις ρυθμίσεις διάρκειας ζωής κλειδιού για ανταλλαγή κλειδιών κύριας κατάστασης λειτουργίας.

Λεπτά

Χρησιμοποιήστε αυτήν την επιλογή για να ρυθμίσετε τη διάρκεια ζωής, σε λεπτά,του κλειδιού, το οποίο χρησιμοποιείται στη συσχέτιση ασφάλειας γρήγορης λειτουργίας. Έπειτα απ' αυτό το χρονικό διάστημα το κλειδί θα αναδημιουργηθεί. Οι επόμενες επικοινωνίες θα χρησιμοποιήσουν το νέο κλειδί.

Η μέγιστη διάρκεια ζωής είναι 2879 λεπτά (48 ώρες). Η ελάχιστη διάρκεια ζωής είναι 5 λεπτά. Σας συνιστούμε να επαναλαμβάνετε τα κλειδιά μόνο όσο συχνά το απαιτεί η ανάλυση κινδύνων. Η υπερβολικά συχνή επανάληψη κλειδιών μπορεί να επηρεάσει την απόδοση.

KB

Χρησιμοποιήστε αυτήν τη ρύθμιση για να καθορίσετε την ποσότητα δεδομένων σε KB που αποστέλλεται με χρήση του κλειδιού. Όταν επιτευχθεί αυτό το όριο, ο μετρητής μηδενίζεται και το κλειδί αναδημιουργείται. Οι επόμενες επικοινωνίες θα χρησιμοποιήσουν το νέο κλειδί.

Η μέγιστη διάρκεια ζωής είναι 2147483647 KB. Η ελάχιστη διάρκεια ζωής είναι 20480 KB. Σας συνιστούμε να επαναλαμβάνετε τα κλειδιά μόνο όσο συχνά το απαιτεί η ανάλυση κινδύνων. Η υπερβολικά συχνή επανάληψη κλειδιών μπορεί να επηρεάσει την απόδοση.

Βλ. επίσης

Περιβάλλον εργασίας χρήστη: Τείχος προστασίας των Windows με Πρόσθετες επιλογές ασφαλείας