為什麼不能在 IKEv1 階段 1 中使用 AES-GCM？

我在防火牆（強化）上配置了一個 VPN，並意識到我可以在 IKEv1 階段 2 中使用 AES-GCM 進行加密，但不能在階段 1 中使用，我想知道為什麼知道在 IKEv2 中我們可以在兩個階段都使用它。我已經檢查了 RFC 文章，但沒有任何解釋。僅僅是因為 AES-GCM 是在 IKEv1 或類似的東西之後出現的嗎？

使用 IKEv2，所有有效載荷通常在單個加密有效載荷(SK) 中發送，其數據既加密又完整性保護/身份驗證（該保護涵蓋完整的消息，包括標頭和可選的未加密有效載荷）。這與現代 AEAD 算法（如 AES-GCM）配合得非常好，附加的身份驗證數據 (AAD) 是標頭（IKE 和 SK）和任何未加密的有效負載，生成的身份驗證標籤是作為加密有效負載中的完整性校驗和數據發送的內容。

另一方面，IKEv1/ISAKMP 處理 IKE 消息的加密和完整性保護的方式完全不同。對於第 2 階段消息（快速模式/資訊）的完整性保護，消息 ID 和有效負載被散列（實際使用 PRF），結果被添加到附加雜湊負載中的消息中（在主模式和積極模式期間它是相似的但根據身份驗證方法略有不同）。然後對包含該雜湊有效負載的完整消息進行加密。因此，這與 AES-GCM 的工作方式並不真正匹配，除非協議會發生重大變化（例如擺脫冗餘雜湊有效負載並僅通過組合模式密碼處理完整性保護）。但我想對於已經過時的協議來說這樣做真的沒有意義。

寫完這個答案後，我注意到這實際上在RFC 5282的介紹中有所描述。

引用自：https://crypto.stackexchange.com/questions/74411