Hi Martin,<br><br>thank you for your fast reply.<br><br><br><div class="gmail_quote">2011/3/21 Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org">martin@strongswan.org</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Hi Nikos,<br>
<div class="im"><br>
> How could I take advantage of the "given ideal keys" ?<br>
> Is it possible to use the DH derived keys as an index to the pool of<br>
> those "ideal keys"?<br>
<br>
</div>The IKEv2 protocol uses the DH exchange as a base to derive the<br>
cryptographic keys. With PSK authentication, the PSKs are not part of<br>
the key derivation, but only used for peer authentication.<br>
<br>
So at least an IKEv2 compatible implementation can't use the PSK keys<br>
directly to derive key material from. You could set up your SAs manually<br>
using these keys, or feed in your "ideal" key material to the DH<br>
exchange. Depends on what you actually want to achieve.<br>
<div class="im"><br></div></blockquote><div><br>I've been using ipsectools-0.7.2 (setkey) to manually add these 
keys, but with<br>this type of IPsec I lose some other IKEv2 benefits 
(NAT-T, inactivity, what else?).<br><br>How difficult would be to feed 
in the "ideal" key material to the DH exchange?<br>It would be great if 
instead of calculating (DH) the next cryptokey for let say <br>each new 
CHILD_SA, this mechanism selects the next key in a serial manner from<br>a
 given file/db (of the ideal keys)<br> <br></div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div class="im">
> charon: 08[DMN] thread 10 received 11<br>
> charon: 08[DMN] killing ourself, received critical signal<br>
<br>
</div>If you can verify this crash with our latest release, a GDB backtrace<br>
would be helpful to analyze the issue (use ipsec start --attach-gdb).<br>
<br>
Regards<br>
<font color="#888888">Martin<br>
<br>
</font></blockquote></div><br>Unfortunately the version I use  (4.4.1) is quite patched and 
I'll have to re-apply<br>all patches to the new version and re-run the 
scenario.<br>I'll try it out but will take some time.<br><br>Best
 Regards,<br>Nikos