Algorithmes de chiffrement IKE compatibles

Le service Cloud VPN est compatible avec les algorithmes de chiffrement et les paramètres de configuration ci-dessous pour les appareils VPN pairs ou les services VPN. Il négocie automatiquement la connexion à condition que le côté pair utilise un paramètre d'algorithme de chiffrement IKE accepté.

Pour obtenir des instructions relatives à la configuration, consultez la page Configurer votre passerelle VPN de pairs.

Présentation de l'algorithme de chiffrement IKE

Les algorithmes de chiffrement IKE suivants sont compatibles avec les VPN classiques et les VPN haute disponibilité. Deux sections sur IKEv2 sont proposées selon que l'algorithme de chiffrement utilise ou non le chiffrement authentifié avec les données associées (AEAD).

Algorithmes de chiffrement IKEv2 avec AEAD

Phase 1

Rôle de l'algorithme de chiffrement Algorithme de chiffrement Notes
Chiffrement et intégrité
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
Dans cette liste, le premier nombre correspond à la taille du paramètre ICV en octets et le second à la longueur de la clé en bits.

Dans certains documents, le paramètre ICV (le premier nombre) peut être exprimé en bits plutôt qu'en octets (8 octets deviennent 64 bits, 12 octets deviennent 96 bits et 16 octets deviennent 128 bits).
Fonction pseudo-aléatoire (PRF, Pseudo-Random Function)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
De nombreux appareils ne requièrent pas de paramètre PRF explicite.
Diffie-Hellman (DH)
  • modp_2048 (groupe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (groupe 5)
  • modp_3072 (groupe 15)
  • modp_4096 (groupe 16)
  • modp_8192 (groupe 18)
  • modp_1024 (groupe 2)
  • modp_1024_160 (modp_1024s160)
La suggestion de Cloud VPN présente ces algorithmes d'échange de clés dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Durée de vie de la phase 1 36 000 secondes (10 heures)

Phase 2

Rôle de l'algorithme de chiffrement Algorithme de chiffrement Notes
Chiffrement et intégrité
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
La suggestion de Cloud VPN présente ces algorithmes dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.

Notez que le premier nombre correspond à la taille du paramètre ICV en octets et le second à la longueur de la clé en bits. Dans certains documents, le paramètre ICV (le premier nombre) peut être exprimé en bits plutôt qu'en octets (8 octets deviennent 64 bits, 12 octets deviennent 96 bits et 16 octets deviennent 128 bits).
Algorithme PFS (obligatoire)
  • modp_2048 (groupe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (groupe 5)
  • modp_3072 (groupe 15)
  • modp_4096 (groupe 16)
  • modp_8192 (groupe 18)
  • modp_1024 (groupe 2)
  • modp_1024_160 (modp_1024s160)
La suggestion de Cloud VPN présente ces algorithmes d'échange de clés dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Diffie-Hellman (DH) Reportez-vous à la phase 1. Si votre passerelle VPN nécessite des paramètres DH pour la phase 2, copiez les paramètres utilisés pendant la phase 1.
Durée de vie de la phase 2 10 800 secondes (3 heures)

Algorithmes de chiffrement IKEv2 sans AEAD

Phase 1

Rôle de l'algorithme de chiffrement Algorithme de chiffrement Notes
Chiffrement
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
La suggestion de Cloud VPN présente ces algorithmes de chiffrement symétrique dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Intégrité
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
La suggestion de Cloud VPN présente ces algorithmes HMAC dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.

Dans la documentation de votre passerelle VPN sur site, l'algorithme peut être désigné par un nom légèrement différent. Par exemple, HMAC-SHA2-512-256 peut être désigné simplement par SHA2-512 ou SHA-512 (sans la longueur de troncature ni les autres informations superflues).
Fonction pseudo-aléatoire (PRF, Pseudo-Random Function)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
De nombreux appareils ne requièrent pas de paramètre PRF explicite.
Diffie-Hellman (DH)
  • modp_2048 (groupe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (groupe 5)
  • modp_3072 (groupe 15)
  • modp_4096 (groupe 16)
  • modp_8192 (groupe 18)
  • modp_1024 (groupe 2)
  • modp_1024_160 (modp_1024s160)
La suggestion de Cloud VPN présente ces algorithmes d'échange de clés dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Durée de vie de la phase 1 36 000 secondes (10 heures)

Phase 2

Rôle de l'algorithme de chiffrement Algorithme de chiffrement Notes
Chiffrement
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
La suggestion de Cloud VPN présente ces algorithmes de chiffrement symétrique dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Intégrité
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
La suggestion de Cloud VPN présente ces algorithmes HMAC dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.

Dans la documentation de votre passerelle VPN sur site, l'algorithme peut être désigné par un nom légèrement différent. Par exemple, HMAC-SHA2-512-256 peut être désigné simplement par SHA2-512 ou SHA-512 (sans la longueur de troncature ni les autres informations superflues).
Algorithme PFS (obligatoire)
  • modp_2048 (groupe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (groupe 5)
  • modp_3072 (groupe 15)
  • modp_4096 (groupe 16)
  • modp_8192 (groupe 18)
  • modp_1024 (groupe 2)
  • modp_1024_160 (modp_1024s160)
La suggestion de Cloud VPN présente ces algorithmes d'échange de clés dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Diffie-Hellman (DH) Reportez-vous à la phase 1. Si votre passerelle VPN nécessite des paramètres DH pour la phase 2, copiez les paramètres utilisés pendant la phase 1.
Durée de vie de la phase 2 10 800 secondes (3 heures)

Algorithmes de chiffrement IKEv1

Phase 1

Rôle de l'algorithme de chiffrement Algorithme de chiffrement
Chiffrement AES-CBC-128
Intégrité HMAC-SHA1-96
Fonction pseudo-aléatoire (PRF, Pseudo-Random Function) PRF-SHA1-96
Diffie-Hellman (DH) modp_1024 (groupe 2)
Durée de vie de la phase 1 36 600 secondes (10 heures, 10 minutes)

Phase 2

Rôle de l'algorithme de chiffrement Algorithme de chiffrement
Chiffrement AES-CBC-128
Intégrité HMAC-SHA1-96
Algorithme PFS (obligatoire) modp_1024 (groupe 2)
Diffie-Hellman (DH) Si vous devez spécifier un paramètre DH pour votre passerelle VPN, copiez le paramètre utilisé pendant la phase 1.
Durée de vie de la phase 2 10 800 secondes (3 heures)

Étapes suivantes