Ce site est une archive officieuse de l'ancien site de l'ANSSI, remplacé fin novembre 2023.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.

Corpus documentaire IPsec DR à destination des industriels – Version 1.0

Le protocole IPsec est une solution de protection des flux réseaux standardisée par l’IETF. Le présent référentiel est destiné en premier lieu aux industriels de produits implémentant le protocole IPsec à des fins de protection de réseaux de niveau Diffusion Restreinte (DR). Ce référentiel a pour objectif de définir quels doivent être les paramètres du protocole IPsec pour atteindre un niveau de sécurité compatible avec la protection de données DR. La mise en place des exigences et recommandations formulées dans ce référentiel est de nature à favoriser l’interopérabilité des chiffreurs et des clients VPN IPsec visant un agrément DR.

Le protocole IPsec est une solution de protection des flux réseaux standardisée par l’IETF. Il permet à deux parties d’échanger des données de façon sécurisée. IPsec permet notamment la mise en place de VPN (réseaux privés virtuels) sécurisés entre des centres de données ou en situation de nomadisme numérique. Ce protocole est souvent déployé en association avec IKE (Internet Key Exchange) qui est également un protocole standardisé par l’IETF. IKE permet la négociation des clés cryptographiques et d’autres paramètres techniques nécessaires au fonctionnement d’IPsec.
Le corpus IPsec DR définit un périmètre restreint d’algorithmes cryptographiques et clarifie leur utilisation sur les réseaux de Diffusion Restreinte (DR). Il simplifie et clarifie les RFC associée à IPsec et IKE afin de réduire le risque d’erreur d’implémentation. Il favorise l’interopérabilité entre produits en limitant les options cryptographiques et protocolaires autorisées.
Le corpus IPsec DR produit par l’ANSSI est constitué de l’ensemble des cinq documents suivants :

  • La note Crypto Référentiel IPsec DR : ce document détaille les exigences portant sur la mise en place et l’utilisation des mécanismes cryptographiques. Il détaille aussi les exigences relatives à la configuration des protocoles IPsec et IKE ;
  • La RFC 4301 « Security Architecture for the Internet Protocol », modifiée par l’ANSSI ;
  • La RFC 6023 « A Childless Initiation of the Internet Key Exchange Version 2 (IKEv2) Security Association (SA) » qui définit une extension du standard IKEv2 rendue obligatoire ;
  • La RFC 7296 « Internet Key Exchange Protocol Version 2″, modifiée par l’ANSSI.
  • Un document présentant deux tableaux listant les exigences principales et les recommandations du corpus documentaire :
    • un tableau d’exigences qui liste les critères principaux qu’un équipement doit satisfaire pour être éligible à l’obtention d’un agrément DR. Ce tableau n’est pas exhaustif. Il ne décrit qu’un sous-ensemble des exigences détaillées dans la note Crypto Référentiel IPsec DR ;
    • un tableau de recommandations qui précise quels critères additionnels permettent à l’équipement d’atteindre un niveau de sécurité plus élevé.
  • pdf

    Note crypto (note_cryptographique_ipsec_dr_v1.0.pdf)

    481 Ko

  • pdf

    Liste des exigences et recommandations (tableaux_ipsecdr_v1.0.3.pdf)

    234.55 Ko

  • pdf

    RFC 7296 modidiée par l'ANSSI (RFC7296_modifiée_ANSSI_v1.0.pdf)

    443.76 Ko

  • pdf

    RFC 6023 (RFC6023.pdf)

    104.98 Ko

  • pdf

    RFC 4301 modidiée par l'ANSSI (RFC4301_modifiée_ANSSI_v1.0.pdf)

    300.15 Ko