У меня есть рабочая конфигурация ipsec-tools, в которой используется шифрование aes-ctr с 224-битным ключом (192 бит для ключа + 32 бит для nonce). На ядре 3.2.0 все работает нормально.
Вот что man setkey говорит о длине ключа:
aes-ctr 160/224/288 draft-ietf-ipsec-ciph-aes-ctr-03
Теперь в ядре 3.9.3 та же конфигурация приводит к
line 3: Not supported at [0xb852255497778bb093ea86d9f1474ec7c83822f0e2b64312657a9a06]
parse failed, line 3.
То же самое сообщение, которое я видел раньше, при переходе с какого-то старого ядра на 3.2.0 - в нем упали 160-битные ключи, а переход на 224-битный решил проблему. Теперь, в версии 3.9.3 любая длина ключа, которую я пробую, приводит к тому же сообщению об ошибке. Какая длина ключа будет работать в 3.9.3? Они сбросили AES-CTR, и я должен использовать другой алгоритм? У меня нет идей ...
Версия setkey - 0.8.0 для обоих ядер. Ubuntu точная.
Вероятно, это ошибка ядра 3.9.3.
Ядро 3.9.3 не упаковано с ubuntu 12.04 (точно), чья-то особенная ошибка - устанавливать его с 12.04. Ядро 3.9.3 будет доступно только в ubuntu 13.10 (дерзкий)