Home
IPSec

e-Mail an mich
Definition der Chiffren

zurück     weiter

Definition der Chiffren

Die Chiffren, die bei IPSec Verwendung finden, sind in der ISAKMP DOI [rfc2407] definiert. Es handelt sich um neun symmetrische Blockchiffren und zwei symmetrische Stromchiffren, von denen die Eine allerdings die NULL Encryption ist, was keine Verschlüsselung bedeutet. Alle Blockchiffren werden im Cipher Block Chaining CBC betrieben. In [rfc2451] ist definiert, dass bei Einsatz des Modus CBC jedem verschlüsselten IP-Paket der Initialisierungswert IV voranzustellen ist, damit die einzelnen IP-Pakete auch entschlüsselt werden können, wenn ein Paket verloren geht. Die Länge des Initialisierungswertes soll der entsprechenden Blockgröße der verwendeten Chiffre entsprechen. Der Initialisierungswert des ersten Pakets soll dabei zufällig generiert werden, wohingegen die weiteren Initialisierungswerte dem letzten Chiffretextblock des vorangegangenen Paketes entsprechen.

Die folgenden Chiffren sind für den Einsatz bei IPSec definiert, wobei nur zwei Chiffren implementiert werden müssen, die anderen können implementiert werden.

    ESP_DES_IV64 (1): Dies ist der Algorithmus DES, der im CBC-Modus betrieben wird und einen Initialisierungswert der Länge 64 Bit aufweist. Die effektive Schlüssellänge beträgt 56 Bit.

    ESP_DES (2): Die Definition ESP_DES bezeichnet die allgemeine Verschlüsselung mit DES. Dieser wird ebenfalls im CBC-Modus betrieben und weist eine Schlüssellänge von 56 Bit auf. Zur Authentifizierung des Payloads ist der Algorithmus HMAC unter Verwendung des Hashverfahrens MD5 definiert. Der Modus ESP_DES muss von allen IPSec Implementierungen unterstützt werden.

    ESP_3DES (3): Mit der Bezeichnung ESP_3DES ist der Triple-DES mit drei Schlüsseln und einer effektiven Schlüssellänge von 168 Bit definiert. Zur Authentifizierung innerhalb des ESP ist HMAC in Verbindung mit MD5 vorgesehen. Alle IPSec Implementierungen sollten laut [rfc2407] diesen Modus unterstützen.

    ESP_RC5 (4): Hinter dieser Definition verbirgt sich der Algorithmus RC5, der ebenfalls im CBC-Modus betrieben wird. Die Schlüssellänge ist bei RC5 variabel, in [rfc2451] wird jedoch eine Schlüssellänge von 128 Bit als Defaultwert angegeben.

    ESP_IDEA (5): Der Modus ESP_IDEA bezieht sich auf den Algorithmus IDEA. Auch dieser wird im CBC-Modus betrieben. Die Schlüssellänge beträgt 128 Bit.

    ESP_CAST (6): Der Algorithmus CAST-128 wird ebenso, wie die anderen Blockchiffren, im CBC-Modus betrieben. Die Defaultlänge des Schlüssels beträgt 128 Bit.

    ESP_BLOWFISH (7): Dies ist der Algorithmus Blowfish im CBC-Modus. Die Schlüssellänge ist auch hier variabel und der Defaultwert beträgt 128 Bit.

    ESP_3IDEA (8): Die Bezeichnung ESP_3IDEA ist für den Triple-IDEA Algorithmus reserviert. Eine genauere Spezifikation liegt noch nicht vor.

    ESP_DES_IV32 (9): Hiermit ist der Betrieb des DES im CBC-Modus vorgesehen, wobei der Initialisierungswert nur 32 statt 64 Bit enthält. Die effektive Schlüssellänge beträgt 56 Bit.

    ESP_RC4 (10): Diese Bezeichnung ist für die Stromchiffre RC4 reserviert. Eine genauere Spezifikation liegt jedoch noch nicht vor.

    ESP_NULL (11): Der Modus der NULL Encryption bietet keine Vertraulichkeit, da die Daten unverändert als Klartext übertragen werden. Der Modus ESP_NULL ist definiert, um IP-Pakete, die nicht verschlüsselt werden müssen, mittels ESP authentifizieren zu können. Dies erreicht man allerdings besser mit dem AH. Alle IPSec Implementierungen müssen den Modus ESP_NULL unterstützen.

Zusätzlich zu den hier aufgeführten Algorithmen wird derzeit die Integration der fünf Kandidaten der AES-Endrunde in IPSec diskutiert. Dies sind die Verfahren AES, MARS, RC6, Serpent und Twofish. Im Falle von AES ist sogar angedacht, ihn zu den Muss-Implementierungen hinzuzufügen.

zurück     weiter

[Home] [IPSec] [SSL] [AES-Kandidaten] [Ãœber mich] [Links] [Gästebuch]