Home
IPSec

e-Mail an mich
Der Encapsulating Security Payload

zurück     weiter

Der Encapsulating Security Payload

Zur Wahrung der Vertraulichkeit können die IP-Pakete mit IPSec verschlüsselt werden. Hierzu dient der Encapsulating Security Payload ESP. Die Daten des Payloads werden gemäß der SA verschlüsselt und können zusätzlich durch Authentifizierung geschützt werden. Der Unterschied zum AH besteht jedoch darin, dass der IP-Header nicht zur Berechnung des Hashwertes hinzugezogen wird, sondern nur das ESP-Paket, natürlich ohne den Hashwert.

Ein ESP-Paket enthält folgende Felder:

  • Security Parameters Index SPI (4 Byte): In diesem Feld sind alle Parameter der SA angezeigt, die durch IKE ausgehandelt wurde.
  • Sequence Number (4 Byte): Die Sequenznummer wird zu Beginn einer Verbindung auf 1 gesetzt und nach jedem Paket inkrementiert. Hierdurch wird verhindert, dass Pakete mit falscher Sequenznummer eingespielt werden.
  • Payload Data (variabel): Im Feld Payload Data ist das Datenpaket der Transportschicht enthalten.
  • Padding (0 – 255 Byte): Die Länge des Datenpakets muss der eingesetzten Blockchiffre angepasst werden. Hierzu wird das Datenpaket mittels Padding auf die entsprechende Länge gebracht.
  • Pad Length (1 Byte): Der Wert Pad Length gibt die Anzahl der eingefügten Paddingbits an.
  • Next Header (1 Byte): Dieses Feld zeigt an, welche Art von Transportprotokoll der Payload enthält. Dies kann z.B. das Protokoll TCP sein.
  • Authentication Data (variabel): Der Hashwert des ESP-Pakets ohne den Hashwert selber ist in diesem Feld abgelegt. In Normalfall ist es 96 Bit oder 12 Byte groß.

Das ESP-Paket lässt sich in vier – bzw. drei – Abschnitte unterteilen. Der erste Abschnitt ist der ESP-Header mit den Feldern SPI und Sequence Number. Den zweiten Abschnitt stellt der Payload dar. Der dritte Abschnitt lässt sich als ESP-Trail bezeichnen, da hier Informationen an den Payload gehängt werden. Der vierte Abschnitt ist optional und daher nicht zwangsläufig vorhanden. Es handelt sich um die Authentifizierungsdaten, den Hashwert des Pakets.

Auch beim ESP werden die Betriebsmodi Transport- und Tunnelmodus unterschieden. Im Transportmodus wird der Originalheader des IP-Pakets beibehalten, im Tunnelmodus wird der ursprüngliche IP-Header zusammen mit dem Payload verschlüsselt und es wird ein neuer IP-Header vor das gesamte Paket gesetzt. Der Tunnelmodus macht natürlich nur Sinn, wenn ein Security Gateway eingesetzt wird, das die Pakete verschlüsselt. Eine direkte Verbindung zwischen zwei Endgeräten wird im Transportmodus durchgeführt.

 zurück     weiter

[Home] [IPSec] [SSL] [AES-Kandidaten] [Über mich] [Links] [Gästebuch]