---

Hej hej!

Er alle VPN-enheder kompatible med hinanden, hvis blot de kører IP-sec?

Hilsen
Benny!

---

bs wrote:
>
> Hej hej!
>
> Er alle VPN-enheder kompatible med hinanden, hvis blot de kører IP-sec?

Nok ikke, det ville være ret usandsynligt.

--
Kasper Dupont
For sending spam use mailto:u972183+6138@daimi.au.dk

---

In article <3C48A011.84BEC1EC@daimi.au.dk>, Kasper Dupont wrote:
>>
>> Er alle VPN-enheder kompatible med hinanden, hvis blot de kører IP-sec?
>
> Nok ikke, det ville være ret usandsynligt.

Ideen er at de burde være det (hvis de understøtter de samme ciphers),
men ofte er der jo forskellige fortolkninger af RFCer.

--
Andreas Plesner Jacobsen | You will contract a rare disease.

---

Undskyld min uvidenhed...
Jeg har hørt om cipher-text... og planitext...
Når du skriver:
"hvis de understøtter de samme ciphers"

Men er du så:
"hvis de understøtter de samme krypteringsprotokoller..."


--
Hilsen
Benny Sørensen

---

bs wrote:
>
> Undskyld min uvidenhed...
> Jeg har hørt om cipher-text... og planitext...
> Når du skriver:
> "hvis de understøtter de samme ciphers"
>
> Men er du så:
> "hvis de understøtter de samme krypteringsprotokoller..."

Ciphers og krypteringsprotokoller er to forskellige lag i
systemet. Ciphers er et af de primitiver som protokoller
er opbygget af.

I mange protokoller indgår det som en del af protokollen,
at de to parter skal blive enige om, hvilken cipher der
skal anvendes.

Hvis de to parter ikke understøtter de samme ciphers, kan
det være tilfældet, at den sikreste ikke kan anvendes, og
man derfor falder tilbage på en mindre sikker cipher. I
værste fald kan de to parter slet ikke kommunikere.

Som en sidebemærkning kan det nævnes, at der har været
eksempler på fejl i protokoller, som gjorde at en cracker
kunne få de to parter til at vælge en mindre sikker
cipher, selvom de begge understøtter en bedre. (Sådan
tror jeg nok det var, jeg kan ikke huske detaljerne.)

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

On 18 Jan 2002 08:15:14 -0800, beny_sorensen@hotmail.com (bs)
wrote:

> Er alle VPN-enheder kompatible med hinanden, hvis blot de kører IP-sec?

Nej.

IPSec er en hel familie af protokoller (eller snarere en arkitek-
tur), så det er er bestemt muligt at få skaffet sig to produkter,
der ikke kan snakke med hinanden.

De fleste produkter kan dog snakke sammen, hvis man vælger de
mest udbredte protokoller på de forskellige områder. Desværre
giver det ikke altid den funktionalitet og/eller sikkerhed man
ønsker sig, og så kan man være nødt til at køre lidt mindre
åbent.

-A
--
http://www.hojmark.org/
http://www.toiletduk.net/insanity_test/

---

Nej.
Der er en væsentlig forskel i måden certificater bliver til.
Hos nogle er det "bare" 20 tegn der indtastes, og hos andre er det et
"rigtigt" certificat der bruges
Den type der bruger x509 certificater er den mest sikre.
Samtidigt kan det anbefales, at vælge en type der kører med AES (til nød
3DES) kryptering, da det er den nyeste og hurtigeste måde at kryptere på



"bs" <beny_sorensen@hotmail.com> skrev i en meddelelse
news:277b6de5.0201180815.1d484017@posting.google.com...
> Hej hej!
>
> Er alle VPN-enheder kompatible med hinanden, hvis blot de kører IP-sec?
>
> Hilsen
> Benny!

---

BF wrote:

> Nej.
> Der er en væsentlig forskel i måden certificater bliver til.
> Hos nogle er det "bare" 20 tegn der indtastes, og hos andre er det et
> "rigtigt" certificat der bruges
> Den type der bruger x509 certificater er den mest sikre.


Er det en del af IPSec?

---

On Sun, 20 Jan 2002 13:27:42 +0100, "BF" <benny@get2net.dk>
wrote:

> Samtidigt kan det anbefales, at vælge en type der kører med AES (til nød
> 3DES) kryptering, da det er den nyeste og hurtigeste måde at kryptere på

Jeg er uenig.

AES er så ny, at man må forvente masser af problemer med bugs i
implementeringerne. Man vil ganske givet opleve problemer med
interoperabilitet, ligesom performance vil være et problem. Hvis
man er optimist håber man på, at det nye kode ikke giver sikker-
hedsbrister. Det er en optimisme, jeg personligt ikke deler.

Da sikkerheden i 3DES for alle almindelige anvendelser er Sikker
Nok(TM), og da den er velafprøvet af godt afluset, så har jeg
svært ved at se, hvorfor man skulle have travlt med at komme på
AES.

-A
--
http://www.hojmark.org/

---

AES har været på markedet i længere tid, og jeg ved den kører uden
problemer.
En af de gode grunde til at bruge AES, er at krypterings hastighed med AES
er væsentlig højere end med 3DES, samt at den er scalerbar, så den kan
udvides løbende.


"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:5lgl4u0vt4brnfd34un26qbcdjntgfotov@news.worldonline.dk...
> On Sun, 20 Jan 2002 13:27:42 +0100, "BF" <benny@get2net.dk>
> wrote:
>
> > Samtidigt kan det anbefales, at vælge en type der kører med AES (til nød
> > 3DES) kryptering, da det er den nyeste og hurtigeste måde at kryptere på
>
> Jeg er uenig.
>
> AES er så ny, at man må forvente masser af problemer med bugs i
> implementeringerne. Man vil ganske givet opleve problemer med
> interoperabilitet, ligesom performance vil være et problem. Hvis
> man er optimist håber man på, at det nye kode ikke giver sikker-
> hedsbrister. Det er en optimisme, jeg personligt ikke deler.
>
> Da sikkerheden i 3DES for alle almindelige anvendelser er Sikker
> Nok(TM), og da den er velafprøvet af godt afluset, så har jeg
> svært ved at se, hvorfor man skulle have travlt med at komme på
> AES.
>
> -A
> --
> http://www.hojmark.org/

---

BF wrote:

> AES har været på markedet i længere tid, og jeg ved den kører uden


Derfor er den stadigvæk ny i forhold til andre algoritmer.

> problemer.


Kan du ikke redegøre for dette udsagn, at den kører uden problemer?

Hvad med det implementeringsfejl vi ikke har set enddnu?

---

On Sun, 20 Jan 2002 14:53:18 +0100, "BF" <benny@get2net.dk>
wrote:

> AES har været på markedet i længere tid, og jeg ved den kører uden
> problemer.

Hvad definerer du som 'længere tid'?
Hvilke implementationer (produkter) refererer du til?
Hvilke erfaringer har du med interoperabilitet mellem forskellige
produkter?

> En af de gode grunde til at bruge AES, er at krypterings hastighed
> med AES er væsentlig højere end med 3DES,

Ja, jeg har også læst, at algoritmen potentielt skulle kunne give
bedre performance end 3DES. Men jeg har ikke set nogen produkter,
hvor dette faktisk også er tilfældet.

Så igen: Hvilke implementationer refererer du til?

Endvidere er der masser af produkter, der kører med hardware-
assist for 3DES, og der må man forvente *radikalt* dårligere
performance, hvis man skifter til AES, fordi krypteringen uden
hardware-assist skal foregå på en GP CPU.


Og læs så http://www.usenet.dk/netikette/citatteknik.html

-A
--
http://www.hojmark.org/

---

Jeg ved godt at f.eks. Checkpoint og andre først i år er begyndt at skrive
om AES kryptering, men f.eks. PGP Clienter har brugt AES siden stareten af
2001
Disse clienter kører uden problemer med AES

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:npkl4uclhdf8e0otano7j8boae7q8fot3g@news.worldonline.dk...
> On Sun, 20 Jan 2002 14:53:18 +0100, "BF" <benny@get2net.dk>
> wrote:
>
> > AES har været på markedet i længere tid, og jeg ved den kører uden
> > problemer.
>
> Hvad definerer du som 'længere tid'?
> Hvilke implementationer (produkter) refererer du til?
> Hvilke erfaringer har du med interoperabilitet mellem forskellige
> produkter?
>
> > En af de gode grunde til at bruge AES, er at krypterings hastighed
> > med AES er væsentlig højere end med 3DES,
>
> Ja, jeg har også læst, at algoritmen potentielt skulle kunne give
> bedre performance end 3DES. Men jeg har ikke set nogen produkter,
> hvor dette faktisk også er tilfældet.
>
> Så igen: Hvilke implementationer refererer du til?
>
> Endvidere er der masser af produkter, der kører med hardware-
> assist for 3DES, og der må man forvente *radikalt* dårligere
> performance, hvis man skifter til AES, fordi krypteringen uden
> hardware-assist skal foregå på en GP CPU.
>
>
> Og læs så http://www.usenet.dk/netikette/citatteknik.html
>
> -A
> --
> http://www.hojmark.org/