Есть ли поддержка hmac-md5-96 в инструментах setkey ipsec?

Question

Я хочу использовать алгоритм "hmac-md5-96" для создания ассоциаций безопасности на стороне клиента. Я использую setkey ipsec tools. при добавлении записи spd выдает синтаксическую ошибку и не может определить hmac-md5-96

Я пробовал keyed-md5, который также не поддерживается.

setkey -c << EOF
add $pcscf $ue esp $spi_uc -m transport -E aes-cbc $ck -A  hmac-md5-96 "1234567890123456" ;
spdadd $pcscf/32[$port_ps] $ue/32[$port_uc] tcp -P in ipsec esp/transport//require ;
spdadd $pcscf/32[$port_ps] $ue/32[$port_uc] udp -P in ipsec esp/transport//require ;
EOF

Answer 1

Используйте ip xfrm state add вместо setkey, то есть:

ip xfrm state add src $pcscf dst $ue proto esp spi $spi_uc enc "cbc(aes)" $ck auth-trunc "hmac(md5)" "1234567890123456" 96 mode transport

Для некоторых фиктивных параметров создается следующая запись SAD:

src 11.22.33.44 dst 22.33.44.55
        proto esp spi 0x00000457 reqid 0 mode transport
        replay-window 0 
        auth-trunc hmac(md5) 0x31323334353637383930313233343536 96
        enc cbc(aes) 0x3131313131313131313131313131313131313131313131313131313131313131
        anti-replay context: seq 0x0, oseq 0x0, bitmap 0x00000000
        sel src 0.0.0.0/0 dst 0.0.0.0/0 

Удачи!