安全程度取决于加密算法的密钥长度。 当密钥长度增加时,破解加密就变得更加困难。 但是,在加密和解密数据时,密钥越长,需要的处理器资源越多。

DES 和 3DES 不再被视为是安全的;因此,建议使用 AES 进行 IPSec 加密。 AES 256 位选项可为思科设备之间 VPN 的 IPSec 加密提供最高安全性。 此外,由于 512 位和 768 位 Rivest-Shamir-Adelman (RSA) 密钥已被破解,因此思科建议在 IKE 身份验证阶段使用具有 RSA 选项的 2048 位密钥。

对称加密

加密算法(例如 AES)需要使用共享密钥来执行加密和解密。 两台网络设备都必须知道密钥才能解密信息。 使用对称密钥加密(也称为密钥加密)时,每台设备先加密信息,然后再将信息通过网络发送到另一台设备。 对称密钥加密需要知道哪些设备要相互通信,以便在每台设备上配置相同密钥,如图 1 所示。

例如,发送方将创建编码消息,其中每个字母都替换为字母表中该字母之后的第二个字母,即“A”替换为“C”,“B”替换为“D”,依此类推。 在此情况下,SECRET 一词变为 UGETGV。 发送方已告知接收方密钥是前移 2 位。 接收方收到消息 UGETGV 时,其计算机将消息解密,即前移两个字母,计算出 SECRET。 看到该消息的其他人见到的只是加密消息,此消息看上去毫无意义,除非此人知道密钥。

这是对称算法的概述:

加密设备和解密设备如何同时拥有共享密钥? 一方可利用电子邮件、普通快递或隔夜快递将共享密钥发送给设备的管理员。 另一个更安全的方法是非对称加密。

非对称加密

非对称加密在加密和解密时使用不同的密钥。 黑客即使知道了其中一个密钥,也无法推断出另一个密钥并解密信息。 一个密钥加密消息,而第二个密钥解密消息,如图 2 所示。 无法使用同一密钥进行加密和解密。

公钥加密是非对称加密的一个变体,它组合使用私钥和公钥。 接收方为其想要通信的发送方提供一个公钥, 发送方使用与接收方公钥结合的私钥来加密消息。 同样,发送方必须与接收方共享其公钥。 为了解密消息,接收方将结合使用发送方的公钥与自己的私钥。

这是非对称算法的概述: