Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.6.9. 使用对 Quantum Computers 的保护

将 IKEv1 与 PreShared Keys 搭配使用,可为量级攻击者提供保护。重新设计 IKEv2 不会原生提供这种保护。Libreswan 提供使用 Postquantum Preshared Keys(PPK )来保护 IKEv2 连接免受量子攻击。
要启用可选的 PPK 支持,请在连接定义中添加 ppk=yes。要需要 PPK,请添加 ppk=insist。然后,可为每个客户端分配一个带有一个 secret 值的 PPK ID,其 secret 值会被传递到带外(最好是使用半字节安全)。PPK 的随机性应该非常强大,并且不能基于字典的单词。PPK ID 和 PPK 数据本身存储在 ipsec.secrets 中,例如:
@west @east : PPKS "user1" "thestringismeanttobearandomstr"
PPKS 选项指的是静态 PPK。有一个实验功能可以使用基于一次性的 Dynamic PPK。对于每个连接,会将一次性 pad 的新部分用作 PPK。当使用时,文件中的该部分动态 PPK 被零覆盖,以防止重复使用。如果没有再保留时间 pad 材料,连接会失败。详情请查看 ipsec.secrets(5) man page。
警告
动态 PPK 的实现是作为技术预览提供的,这个功能应该小心使用。如需更多信息,请参阅 Red Hat Enterprise Linux 7.5 发行注记