
<font size=2 face="sans-serif">Hello Martin.</font>

<br>

<br><tt><font size=2>Thank you for your reply. We currently use the default

strongSwan crypto routines</font></tt>

<br><tt><font size=2>and I would prefer to keep using them. The NIST 800-131a

mentions that in 2007,a</font></tt>

<br><tt><font size=2>new set of RNGs were approved in SP 800-90. Does the

default strongSwan crypto</font></tt>

<br><tt><font size=2>routines uses these approved RNGs? Thank you again

for your help.</font></tt>

<br><font size=2 face="sans-serif"><br>

Regards,<br>

<br>

Dale<br>

<br>

Dale H. Anderson<br>

DS Command Line Interface Architect<br>

Dept.74CA/9032-2, Room 972<br>

9000 S. Rita Road<br>

Tucson, AZ 85744-0002<br>

<br>

Tieline: 321- 2629  External: (520) 799-2629<br>

External: </font><a href=mailto:dalea@us.ibm.com><font size=2 face="sans-serif">mailto:dalea@us.ibm.com</font></a>

<br>

<br>

<br>

<table width=100%>

<tr valign=top>

<td><font size=1 color=#5f5f5f face="sans-serif">From:</font>

<td><font size=1 face="sans-serif">Martin Willi <martin@strongswan.org></font>

<tr valign=top>

<td><font size=1 color=#5f5f5f face="sans-serif">To:</font>

<td><font size=1 face="sans-serif">Dale H Anderson/Tucson/IBM@IBMUS</font>

<tr>

<td valign=top><font size=1 color=#5f5f5f face="sans-serif">Cc:</font>

<td><font size=1 face="sans-serif">dev@lists.strongswan.org</font>

<tr valign=top>

<td><font size=1 color=#5f5f5f face="sans-serif">Date:</font>

<td><font size=1 face="sans-serif">11/05/2012 07:52 AM</font>

<tr valign=top>

<td><font size=1 color=#5f5f5f face="sans-serif">Subject:</font>

<td><font size=1 face="sans-serif">Re: [strongSwan-dev] NIST 800-131a</font></table>

<br>

<hr noshade>

<br>

<br>

<br><tt><font size=2>Hello Dale,<br>

<br>

> but I did find that the crypto back end is based on libgcrypt.<br>

<br>

We support different crypto backends in strongSwan. The default uses our<br>

own crypto routines provided directly by strongSwan. Alternatively you<br>

can use the OpenSSL or the libgcrypt based crypto backends. This can be<br>

configured by passing the appropriate options to the ./configure script.<br>

<br>

Additionally to what we use in userspace, you usually make use of the<br>

cryptographic API from the Linux kernel to process ESP packets.<br>

<br>

> does this mean that just by specifying the required encryption<br>

> algorithms with the appropriate key lengths for connections, my system<br>

> (currently 4.6.1) will be compliant with the NIST standard?<br>

<br>

Yes, the ipsec.conf "esp" and "ike" proposal keywords

allow you to<br>

define the algorithms to use, man ipsec.conf for details. Also make sure<br>

to append a "!" to the value of these keywords; this will remove

the<br>

fallback to other algorithms supported by your build.<br>

<br>

Public key strengths are defined by the keys you configure, or what your<br>

CA issues. In newer strongSwan releases, you can also define additional<br>

public key strength requirements with the left/rightauth options. The<br>

manpage of ipsec.conf has more details.<br>

<br>

Regards<br>

Martin<br>

<br>

</font></tt>

<br>

<br>