Cryptography Reference
In-Depth Information
Bei den
Flags
kann ein Router das DF (don´t fragment) bit setzen, auch wenn es von der
Quelle nicht gewählt wurde.
AH ist nur im Zusammenhang mit nicht fragmentierten IP-Paketen möglich. Deshalb wird
ein
Fragmentation Offset
immer 0 sein und ist von der MAC-Berechnung ausgeschlossen.
Jeder Hop über einen Router verringert den Wert der Lebensdauer (
TTL,
Time To Live)
des IP-Pakets.
Jede Veränderung eines Feld im IPv4-Header bedeutet auch eine andere
Checksumme
.
6.4.3
Encapsulated Security Payload
Das ESP-Protokoll (Encapsulating Security Payload) nach RFC 2406 [RFC2406] stellt im
Unterschied zum AH auch die Vertraulichkeit der übermittelten Daten sicher. Zusätzlich wird
bei ESP eine Datenintegrität und Authentisierung des Senders ähnlich wie bei AH gewährleis-
tet. Dabei kann gewählt werden, ob Verschlüsselung und Sender-Authentisierung oder nur
einer der beiden Sicherheitsmechanismen eingesetzt wird.
IP Header
Security Parameter Index (SPI)
Sequence Number Field
Initialization Vector
IP Header (nur im Tunnel Mode)
TCP/UDP Header
Application Data
Padding
Authentication Data
Abb. 6-14: ESP geschütztes
IP-Paket
ESP Header und Trailer
Verschlüsselt mit ESP
Die ESP-Sicherung erstreckt sich, wie in Abb. 6-14 dargestellt, auf die Daten zwischen ESP-
Header und ESP-Trailer. Ein davor liegender IP-Header kann deshalb im Unterschied zu AH
nicht gesichert werden, da der Integrity Check Value (ICV) aus dem Authentication-Data-Feld
im ESP-Trailer nur Daten aus dem Bereich vom ESP-Header bis zum ESP-Trailer einbezieht.
Für die Authentisierung kommen wie bei AH verschiedene MAC-Verfahren in Frage, bei
denen der symmetrische Schlüssel über eine zuvor ausgehandelte SA bereitgestellt wird.
