Corpus documentaire IPsec DR à destination des industriels – Version 1.0

Le présent corpus documentaire est destiné en premier lieu aux industriels qui développent des produits implémentant le protocole IPsec à des fins de protection de réseaux de niveau Diffusion Restreinte (DR). Il a pour objectif de définir quels doivent être les paramètres du protocole IPsec pour atteindre un niveau de sécurité compatible avec la protection de données DR.

La mise en place des exigences formulées dans ce corpus est de nature à favoriser la sécurité et l’interopérabilité des chiffreurs et des clients VPN IPsec visant un agrément DR.

Le présent corpus peut aussi être consulté par les laboratoires de test et par les utilisateurs souhaitant comprendre les contraintes et les exigences imposées aux produits IPsec DR.

Le protocole IPsec est une solution de protection des flux réseaux standardisée par l’IETF. Il permet à deux parties d’échanger des données de façon sécurisée. IPsec permet notamment la mise en place de VPN (réseaux privés virtuels) sécurisés entre des centres de données ou en situation de nomadisme numérique. Ce protocole est souvent déployé en association avec IKE (Internet Key Exchange) qui est également un protocole standardisé par l’IETF. IKE permet la négociation des clés cryptographiques et d’autres paramètres techniques nécessaires au fonctionnement d’IPsec.

Le corpus IPsec DR définit un périmètre restreint d’algorithmes cryptographiques et clarifie leur utilisation sur les réseaux de Diffusion Restreinte (DR). Il simplifie et clarifie les RFC associée à IPsec et IKE afin de réduire le risque d’erreur d’implémentation. Il favorise l’interopérabilité entre produits en limitant les options cryptographiques et protocolaires autorisées.
Le corpus IPsec DR produit par l’ANSSI est constitué de l’ensemble des cinq documents suivants :

• La note Crypto Référentiel IPsec DR : ce document détaille les exigences portant sur la mise en place et l’utilisation des mécanismes cryptographiques. Il détaille aussi les exigences relatives à la configuration des protocoles IPsec et IKE ;
• La RFC 4301 "Security Architecture for the Internet Protocol", modifiée par l’ANSSI ;
• La RFC 6023 "A Childless Initiation of the Internet Key Exchange Version 2 (IKEv2) Security Association (SA)" qui définit une extension du standard IKEv2 rendue obligatoire ;
• La RFC 7296 "Internet Key Exchange Protocol Version 2", modifiée par l’ANSSI.
• Un document présentant deux tableaux listant les exigences principales et les recommandations du corpus documentaire :
  • un tableau d’exigences qui liste les critères principaux qu’un équipement doit satisfaire pour être éligible à l’obtention d’un agrément DR. Ce tableau n’est pas exhaustif. Il ne décrit qu’un sous-ensemble des exigences détaillées dans la note Crypto Référentiel IPsec DR ;
  • un tableau de recommandations qui précise quels critères additionnels permettent à l’équipement d’atteindre un niveau de sécurité plus élevé.