<div dir="ltr">Hi Tobias,<div><br></div><div>No patches were applied to Srongswan 5.5.3. From the configuration options the option <span style="color:rgb(36,41,47);font-family:ui-monospace,SFMono-Regular,"SF Mono",Menlo,Consolas,"Liberation Mono",monospace;font-size:12px;white-space:pre">--enable-kernel-pfkey </span>is used, which means I assume both netlink(by default) and pfkey are used. Is there a way to check this during runtime?</div><div><br></div><div>How to go about from here if pfkey is used to support the AUTH_HMAC_SHA2_256_96 algorithm?</div><div><br></div><div>Thanks,</div><div>Obi</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Oct 27, 2021 at 10:10 AM Tobias Brunner <<a href="mailto:tobias@strongswan.org">tobias@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Obi,<br>
<br>
> The environment is Stronswan version 5.5.3, Linux kernel 4.1.52.<br>
<br>
Were there any patches applied?  Are you sure you're using the <br>
kernel-netlink and not the kernel-pfkey plugin?  Because since 4.3.6 <br>
there is a static mapping in the kernel-netlink plugin from <br>
AUTH_HMAC_SHA2_256_96 to "sha256" (instead of "hmac(sha256)").  So with <br>
any version newer than that, there should never be this message:<br>
<br>
> algorithm HMAC_SHA2_256_96 not supported by kernel!<br>
<br>
Unless the integrity_algs array was deliberately modified or you are not <br>
using the kernel-netlink plugin.<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div>