为 IPSec 使用 Linux 内核加密 API

Question

我想使用来自 Linux Crypto API 的 salsa20 作为 IPSec ESP 的加密算法。 我已经使用 racoon 中的默认设置成功建立了 IPSec 连接（在两个 VM 之间）

remote 192.168.75.3
{
 exchange_mode aggressive, main;
 my_identifier address;
 proposal {
  encryption_algorithm 3des;
  hash_algorithm sha1;
  authentication_method pre_shared_key;
  dh_group 2;
 }
}

但是当我将加密算法更改为 salsa20

remote 192.168.75.3
{
 exchange_mode aggressive, main;
 my_identifier address;
 proposal {
  encryption_algorithm salsa20;
  hash_algorithm sha1;
  authentication_method pre_shared_key;
  dh_group 2;
 }
}

然后重新启动连接我在“sa”上收到一个语法错误，这是一个致命错误。 在我看来，浣熊可能不使用 Linux 内核 Crypto API，或者至少它不支持那里的所有算法！我对吗？还是我做错了什么？ 有什么办法可以在 linux 的 IPSec 上使用 salsa20？

Answer 1

仅作记录。

我深入研究了内核代码，发现那里只能使用一些特定的加密算法（根据 IPSec RFC），并且添加新的分组加密算法也将涉及操纵 IKE（例如 Racoon）。

顺便说一句，对于 IPSec ESP 使用流密码（如 salsa20）只有一个 RFC 草案，因此使用它们将涉及在其他修改之上实施一个草案 RFC。