Ab LCOS 10.30 unterstützt IKEv2 neben den Authentifizierungsverfahren RSA-Signature und Digital-Signature auch Elliptic Curve Digital Signature Algorithm (ECDSA) nach RFC 4754.
ECDSA-Signaturen sind grundsätzlich kleiner als RSA-Signaturen bei vergleichbarer kryptografischer Stärke. ECDSA-Schlüssel und Zertifikate sind in Bezug auf Dateigröße ebenso deutlich kleiner als RSA-basierte Schlüssel und Zertifikate. Des Weiteren sind ECDSA-Operationen auf vielen Geräten grundsätzlich schneller in der Berechnung. Die folgenden Verfahren werden bei IKEv2 unterstützt:
- ECDSA with SHA-256 on the P-256 curve
- ECDSA with SHA-384 on the P-384 curve
- ECDSA with SHA-512 on the P-521 curve
Bei Verwendung von OpenSSL zur Erzeugung von Zertifikaten müssen die folgenden vordefinierten Kurven als Parameter für ECDSA bei IKEv2 verwendet werden:
- prime256v1 bei ECDSA-256
- secp384r1bei ECDSA-384
- secp521r1 bei ECDSA-512
- Die Verhandlung von ECDSA innerhalb des Digital Signature Verfahrens wird nicht unterstützt.
- ECDSA-basierte Zertifikate können derzeit nicht von der LCOS-eigenen CA erzeugt werden. Ebenso ist der automatische Zertifikatsbezug per SCEP nicht möglich. ECDSA-Zertifikate müssen mit einer externen Anwendung, wie z. B. OpenSSL oder mit Hilfe von XCA erzeugt werden und anschließend ins Gerät geladen werden.
In LANconfig unter können Sie diese Verfahren nun sowohl für die Lokale Authentifizierung als auch die Entfernte Authentifizierung auswählen.
