在IPSec上使用Linux内核加密API

Question

我想使用来自Linux Crypto API的salsa20作为IPSec ESP的加密密码。我已使用racoon中的默认设置成功建立了IPSec连接(在两个虚拟机之间

remote 192.168.75.3
{
 exchange_mode aggressive, main;
 my_identifier address;
 proposal {
  encryption_algorithm 3des;
  hash_algorithm sha1;
  authentication_method pre_shared_key;
  dh_group 2;
 }
}

但当我将加密算法更改为salsa20

remote 192.168.75.3
{
 exchange_mode aggressive, main;
 my_identifier address;
 proposal {
  encryption_algorithm salsa20;
  hash_algorithm sha1;
  authentication_method pre_shared_key;
  dh_group 2;
 }
}

然后重新启动连接，我收到一个关于"sa“的语法错误，这是一个致命的错误。在我看来，racoon可能不会使用Linux内核Crypto API，或者至少它不支持那里的所有算法！我说的对吗？或者我做错了什么？有没有办法在linux的IPSec上使用salsa20？

Answer 1

只是为了记录一下。

我深入研究了内核代码，发现它只能在那里使用一些特定的加密算法(根据IPSec RFC)，添加一个新的块加密算法也会涉及到对IKE的操作(例如Racoon)。

顺便说一句，对于IPSec ESP，只有一个使用流密码(如salsa20)的草案RFC，所以使用它们将涉及到在其他修改之上实现一个草案RFC。