<font size=2 face="sans-serif">Hello Martin.</font>
<br>
<br><tt><font size=2>Thank you for your reply. We currently use the default
strongSwan crypto routines</font></tt>
<br><tt><font size=2>and I would prefer to keep using them. The NIST 800-131a
mentions that in 2007,a</font></tt>
<br><tt><font size=2>new set of RNGs were approved in SP 800-90. Does the
default strongSwan crypto</font></tt>
<br><tt><font size=2>routines uses these approved RNGs? Thank you again
for your help.</font></tt>
<br><font size=2 face="sans-serif"><br>
Regards,<br>
<br>
Dale<br>
<br>
Dale H. Anderson<br>
DS Command Line Interface Architect<br>
Dept.74CA/9032-2, Room 972<br>
9000 S. Rita Road<br>
Tucson, AZ 85744-0002<br>
<br>
Tieline: 321- 2629  External: (520) 799-2629<br>
External: </font><a href=mailto:dalea@us.ibm.com><font size=2 face="sans-serif">mailto:dalea@us.ibm.com</font></a>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td><font size=1 color=#5f5f5f face="sans-serif">From:</font>
<td><font size=1 face="sans-serif">Martin Willi <martin@strongswan.org></font>
<tr valign=top>
<td><font size=1 color=#5f5f5f face="sans-serif">To:</font>
<td><font size=1 face="sans-serif">Dale H Anderson/Tucson/IBM@IBMUS</font>
<tr>
<td valign=top><font size=1 color=#5f5f5f face="sans-serif">Cc:</font>
<td><font size=1 face="sans-serif">dev@lists.strongswan.org</font>
<tr valign=top>
<td><font size=1 color=#5f5f5f face="sans-serif">Date:</font>
<td><font size=1 face="sans-serif">11/05/2012 07:52 AM</font>
<tr valign=top>
<td><font size=1 color=#5f5f5f face="sans-serif">Subject:</font>
<td><font size=1 face="sans-serif">Re: [strongSwan-dev] NIST 800-131a</font></table>
<br>
<hr noshade>
<br>
<br>
<br><tt><font size=2>Hello Dale,<br>
<br>
> but I did find that the crypto back end is based on libgcrypt.<br>
<br>
We support different crypto backends in strongSwan. The default uses our<br>
own crypto routines provided directly by strongSwan. Alternatively you<br>
can use the OpenSSL or the libgcrypt based crypto backends. This can be<br>
configured by passing the appropriate options to the ./configure script.<br>
<br>
Additionally to what we use in userspace, you usually make use of the<br>
cryptographic API from the Linux kernel to process ESP packets.<br>
<br>
> does this mean that just by specifying the required encryption<br>
> algorithms with the appropriate key lengths for connections, my system<br>
> (currently 4.6.1) will be compliant with the NIST standard?<br>
<br>
Yes, the ipsec.conf "esp" and "ike" proposal keywords
allow you to<br>
define the algorithms to use, man ipsec.conf for details. Also make sure<br>
to append a "!" to the value of these keywords; this will remove
the<br>
fallback to other algorithms supported by your build.<br>
<br>
Public key strengths are defined by the keys you configure, or what your<br>
CA issues. In newer strongSwan releases, you can also define additional<br>
public key strength requirements with the left/rightauth options. The<br>
manpage of ipsec.conf has more details.<br>
<br>
Regards<br>
Martin<br>
<br>
</font></tt>
<br>
<br>