Длинный PSK

[gaaronk]

При использовании для IPSec достаточно длинного PSK - 120 символов, при выполнении sh run получаю в выводе

 

! ERROR: command "crypto ike key": not enough arguments
!Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e].

 

А в логе

Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e].
Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e].

 

При этом ввести в CLI такой PSK можно, файл /var/ipsec/ipsec.secrets создается верный, туннель работает.

ПО release: v2.08(AAUW.0)C1

 

[Le ecureuil]

21 час назад, gaaronk сказал:

При использовании для IPSec достаточно длинного PSK - 120 символов, при выполнении sh run получаю в выводе

 

! ERROR: command "crypto ike key": not enough arguments
!Command::Argument::Password ERROR[268304478]: out of memory [0xcffe005e].

 

А в логе

Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e].
Mar 08 14:08:34ndmCommand::Argument::Password: out of memory [0xcffe005e].

 

При этом ввести в CLI такой PSK можно, файл /var/ipsec/ipsec.secrets создается верный, туннель работает.

ПО release: v2.08(AAUW.0)C1

 

Думаю, надо ограничить разрешенную длину PSK до 64, всем хватит.

[gaaronk]

Сейчас максимально возможная длина 68 символов.

 

Думаю стоит ограничить в 128.

Процитирую вики стронгсвана

 

As you can see from the above formula, the maximum key size a HMAC-based prf can handle is equivalent to its internal block size which is

512 bits or 64 bytes for SHA-1 and SHA-2_256

or 

1024 bits or 128 bytes for SHA-2_384 and SHA-2_512.

Thus a restriction to a 64 byte PSK makes sense if you don't care for the HMAC being used. If you explicitly specify sha384 or sha512 in your ike= parameter, then a PSK of up to 128 bytes is possible.

 

[r13]

Хватит и 64, все равно не ускоряемые аппаратно режимы мало интересны.

[gaaronk]

А при чем тут аппаратное ускорение?

Мы говорим про IKE, а не ESP. Аппаратное ускорение используется для шифрования трафика, а не для протокола обмена ключами.