Beide Seiten einigen sich beim Verbindungsaufbau über die für Verschlüsselung und Datensignierung zu verwendenden kryptographischen Algorithmen. Die Algorithmen sind für jede Phase separat einstellbar. Im Intra2net System können im Menü Dienste > VPN > Verschlüsselung Profile mit Algorithmen konfiguriert werden.
Eine Verschlüsselungsmethode besteht dabei aus je einem Algorithmus für Verschlüsselung, für Hashing (Signatur) und einer Diffie Hellman Gruppe für den Aufbau einer gesicherten Verbindung. Die meisten Algorithmen werden in verschiedenen Längen angeboten. Die Länge wird in Bit angegeben und der Algorithmus ist desto stärker, je mehr Bit verwendet werden. Allerdings steigt mit der Bitzahl auch der nötige Rechenaufwand.
Für beide Phasen wird nun eine Liste von möglichen Methoden hinterlegt. Diese Liste wird in der eingestellten Reihenfolge der Gegenstelle angeboten, die dann die oberste, von ihr auch unterstützte Methode verwendet.
Auch die Verwendung von Perfect Forward Secrecy (PFS) in Phase 2 wird im Intra2net System über
die Verschlüsselungsprofile konfiguriert. Ist auf dem Intra2net System eine PFS-Gruppe vorgegeben,
wird diese beim Verbindungsaufbau verwendet. Baut die Gegenseite die Verbindung auf,
akzeptiert das Intra2net System die eingestellte und alle stärkeren Gruppen. Ist die PFS-Gruppe auf
Keine
gestellt, werden Verbindungen ohne PFS aufgebaut. Baut die Gegenseite
die Verbindung auf, werden Verbindungen mit und ohne PFS akzeptiert.
Alle angebotenen Algorithmen bieten aus heutiger Sicht eine ausreichende Stärke. Nicht mehr empfohlene Algorithmen wie z.B. einfaches DES mit 64 Bit werden vom Intra2net System gar nicht erst angeboten. Allerdings wurden in letzter Zeit in der kryptographischen Forschung einige mögliche Schwachstellen von vor allem MD5 als auch SHA diskutiert. Wir empfehlen daher, so bald wie möglich auf eine der stärkeren SHA2-Varianten (256, 384 und 512 Bit) umzusteigen.