„Vase kvalitni PSK nezakazuje, ale obecne neni _doporucene_ PSK pouzivat prave proto, ze muzete utocit slovnikem.“
Přičemž bych chtěl vidět, jak někdo slovníkem útočí na dostatečně dlouhé generované PSK. Generované PSK a uživatelem zadávané PSK jsou dva zcela odlišné postupy a měly by se každý z hlediska bezpečnosti posuzovat zvlášť.
„ja si pod "kvalitni PSK" predstavim neco, co nechci opisovat znak po znaku. Tudiz to nejak bezpecne zkopiruju.“
V tom se shodujeme.
„To, ze road-warrior s main-mode neumi Racoon jeste neznamena, ze to nejde.“
Já nechci věnovat svůj čas přehrabáváním vykopávek. Ale šlo o to, že nebyla v době ověřování PSK v main mode ještě k dispozici identifikace, zatímco v aggressive mode je k dispozici obojí.
http://tools.ietf.org/html/rfc2409#section-5.4
„Opravdu nevidim nic zajimaveho.“
Moje chyba.
„Jake _bezpecnostni_ problemy IKEv1 ma?“
Právě ten, který popíráš :). Tzn nebezpečný PSK road warrior, který implikuje aggresive mode.
„podle me je to zjednoduseni protokolu z duvodu blbych adminu“
Adminům to může být úplně jedno. Když si otevřu konfiguraci Strongswanu, tak je úplně stejně přímočará pro IKEv1 i IKEv2 a dokonce to se stejnou konfigurací umí i používat IKEv1 jako fallback.
„A jako feature navrch zrychlili SA establishment, pridali EAP, ...“
Konsolidaci, zjednodušení a rozšíření protokolu samozřejmě vítám.
