为什么不能在IKEv1第一阶段使用AES-GCM？

Question

我在防火墙(fortigate)上配置了VPN，并意识到我可以在IKEv1阶段2中使用AES-GCM进行加密，但在第1阶段不能使用，我想知道为什么知道在IKEv2中我们可以在这两个阶段使用它。我已经检查了RFC的文章，但没有任何解释。这仅仅是因为AES-GCM紧随IKEv1或诸如此类的东西？

Answer 1

对于IKEv2，所有有效载荷通常都以一个单独的加密有效载荷 (SK)发送，该C0(SK)的数据同时受到加密和完整性保护/身份验证(该保护覆盖完整的消息，包括报头和可选的未加密有效负载)。这与现代的AEAD算法(如AES-GCM )非常好地工作，附加的身份验证数据(AAD)是报头(IKE和SK)和任何未加密的有效载荷，由此产生的身份验证标记是作为加密有效载荷中的完整性校验和数据发送的。

另一方面，IKE 1/ISAKMP处理IKE消息的加密和完整性保护非常不同。对于第二阶段消息(快速模式/信息)的完整性保护，消息ID和有效负载被散列(实际上使用了PRF )，并将结果添加到附加Hash有效负载中(在主模式和攻击模式中，它与验证方法相似，但略有不同)。然后对整个消息(包括Hash有效载荷)进行加密。因此，这与AES-GCM的工作方式并不匹配，除非协议已经发生了很大的变化(比如，只有通过组合模式密码才能消除冗余的Hash有效负载和处理完整性保护)。但我想，对于一个已经过时的协议来说，这样做是没有意义的。

写完这个答案后，我注意到这一点实际上在RFC 5282的介绍中描述过。