阿凡达

我的博客去年年底,我们讨论最近对量子计算的进展和关注已引起IT专业人员安全顾虑量子计算机高效解决离散对数和整数分解问题对当前公钥交换、加密和数字签名机制构成威胁此类算法广泛用于协议和产品提供IKEV2/IPsec、MACsec和TLS等加密

多数加密协议都要求在密钥交换认证机制中引入数组后算法以成为抗量机制多厂商喜欢思科市,微软,云花,谷歌,AWS系统IETF研究将量子阻抗加入协议

并非所有协议都自发失效正像我们所解释的PQMACSEC白纸媒体存取控制安全协议,当配置正确参数和认证方法时,可提供量子抗衡校验交通加密MACsec基于标准图层802.1AE双跳加密协议提供媒体访问独立协议的数据保密性与完整性建立macsec安全会话前,Mcsec密钥协议使用为控制协议MKA选择密码器加密并交换所需密钥和参数MKA使用局域网扩展认证协议IEE802.1X定义作为传输MKA消息分配密钥的运输协议MKA使用预共享密钥或802.1X扩展验证协议框架提供认证

MKA/MACsec密钥层次包括连接式密钥(CAK),由密钥协议法建立(或带外配置)。安全协会定义协会成员之间的安全关系SA安全密钥组成安全通道SAK加密取自CAK或MKA键服务器随机生成SAKs由键服务器向同行分发MKA消息-目标多播地址EAPOL协议数据单元带MACsec加密密钥的MKA消息用密钥加密并用完整性检验密钥认证,该密钥取自CAK

量子安全MACsec配置基本需要配置

  • 256位psk
  • 256-bitAES-CMAC编译SAK、KEK和ICK密钥
  • 256位AES-GCM数据认证加密算法

注意使用EAP-TLS认证MACsec对等并生成用于获取其他密钥的主密方法

更多细节描述Cisco平台后macsec通道PQMACSEC白纸.

追加资源访问trust.cisco.com.



作者类

阿凡达

Panos堪帕那基斯

产品管理员

安全信任组织