Para esta actualización se propone la adopción de un conjunto de algoritmos denominados "Suite B".
La Suite B se considera como un estándar público avanzado de criptografía que proporciona sistemas de seguridad de al menos 128 bits de longitud o equivalentes, lo que supera claramente los estándares utilizados hasta el momento y brinda un entorno seguro para el intercambio de información corporativa sobre redes públicas como Internet.
Suite B responde a los requerimientos de múltiples certificaciones de seguridad como PCI (Payment Card Industry), HIPAA (Health Insurance Portability and Accountability Act) y FIPS (Federal Information Processing Standards).
La suite B
Ha sido inicialmente definida por la NSA como adecuada para asegurar información clasificada, y ha sido descrita en el RFC 4869 para su utilización con IPsec. Considera 4 algoritmos criptográficos de dominio público:
- Cifrado basado en AES de 128 o 256 bits en modo Galois/Counter (GCM).
- Firma digital con ECDSA utilizando curvas de 256 y 384 bits.
- Para el intercambio de llaves se utiliza método ECDH.
- Algoritmo de hash se basa en SHA-2.
La Suite B evoluciona el conjunto de algoritmos típicamente soportado para la implementación de IPsec:
- Para el cifrado simétrico:
Inicialmente se sugería DES o 3DES.
Ahora AES 128 o AES 256. - Para la firma digital:
Inicialmente se sugería RSA de 2048 bits.
Ahora ECDSA. - Como algoritmo de hash:
Inicialmente se sugería MD5 o SHA-1
Ahora SHA-2 (256, 384 o 512 bits) - Para el intercambio de llaves:
Se sugería DH
Ahora ECDH
Cisco ha participado del desarrollo de esta suite de algoritmos de cifrado desde el inicio, particularmente trabajando en el desarrollo y estandarización del modo de operación Galois/Counter de AES utilizado en el cifrado simétrico de esta suite.
Actualmente la Suite B está incorporada en los principales productos Cisco de manera tal que pueden aplicarse en soluciones VPN IPsec o DMVPN.
Estos algoritmos están disponibles para su implementación en los routers ISR G2 desde IOS 15.1 o 15.2 según la plataforma.
También se introdujo en IOS-XE 3.7, con lo que está disponible en CSR 1000v con IOS-XE 3.12 y en ISR 4400 desde IOS-XE 3.9, ISR 4300 desde IOS-XE 3.13.
En Cisco ASA la suite B está disponible a partir de versión 9.0. Requiere AnyConnect 3.1 o superior con licencia Premium.
En Cisco ASA la suite B está disponible a partir de versión 9.0. Requiere AnyConnect 3.1 o superior con licencia Premium.
Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.