All,<blockquote class="webkit-indent-blockquote" style="margin: 0 0 0 40px; border: none; padding: 0px;"><div><br></div><div>Hopefully this is a quick answer for someone ?</div><div><br></div><div>When we set up a tunnel, we have to specify a DH group along with the acceptable encryption and authentication algorithms for the IKE_SA (e.g. "aes-sha-modp1024!").</div>
<div><br></div><div>Is DH re-negotiated everytime we rekey the IKE_SA ?</div><div><br></div><div>Also, when we set up a tunnel, we have the option of specifying (or not) the DH group for when CHILD_SAs are rekeyed. Here, for our initiators, we give this choice to the SeGW by specifying that we accept either (e.g. "aes-sha1-modp1024,aes-sha1!").</div>
<div><br></div><div>My understanding is that by specifying the above, we are leaving it up to the SeGW to choose whether to always re-negotiate the DH when the CHILD_SA is rekeyed (by sending back to us "aes-sha1-modp1024") or to never re-negotiate the DH when the CHILD_SA is rekeyed (by sending back to us "aes-sha1").</div>
<div><br></div><div>So, if the former, does this mean that a new DH is re-negotiated everytime we rekey the CHILD_SA AND a new DH is re-negotiated everytime we rekey the IKE_SA ?</div><div><br></div><div>If the latter, does this mean that a new DH is re-negotiated ONLY when we rekey the IKE_SA ?</div>
<div><br></div><div>Finally, if the latter, can the SeGW vary when the DH is re-negotiated (i.e. re-negotiate the DH every THIRD time the CHILD_SA is rekeyed) ?</div><div><br></div><div>Regards,</div><div><br></div></blockquote>
<blockquote class="webkit-indent-blockquote" style="margin: 0 0 0 40px; border: none; padding: 0px;"><blockquote class="webkit-indent-blockquote" style="margin: 0 0 0 40px; border: none; padding: 0px;"><div>Graham.</div></blockquote>
</blockquote><blockquote class="webkit-indent-blockquote" style="margin: 0 0 0 40px; border: none; padding: 0px;"><div><br></div></blockquote>