计数器模式加密对于防止数据包丢失具有更强的防御能力。它用于 SRTP。
我假设如果我使用计数器模式,丢失的数据包会导致 UDP 数据包丢失或 TCP 重新传输,而不是完全重新协商安全上下文。
我找到了一些描述 IPsec 计数器模式的 RFC 草案,但我不知道它的实际实施范围有多广。有文章提到 StrongSwan 可能在 2010 年就实现了它。
我是否可以假设在任何标准 Cisco 端点中都可以找到 IPsec 计数器模式?
反制模式是否存在本质弱点?
答案1
实际上,计数器模式在 Cisco 中用于一种称为“Get VPN”的技术。所有其他 Cisco VPN 都使用点对点加密 VPN 转换集。
你可以阅读更多关于反制技术的信息,请参阅 Get VPN这里。
答案2
http://en.wikipedia.org/wiki/Galois/Counter_Mode
它与类似 TCP 的东西(例如重新发送丢失的数据包等)无关。
安全性——它使用 AES,到目前为止没有在加密流中泄露密钥……
思科 - 您需要最新的 IOS,即 2011Q2 及以上版本。