Home
IPSec

e-Mail an mich

Definition der Chiffren

zur├╝ck     weiter

Definition der Chiffren

Die Chiffren, die bei IPSec Verwendung finden, sind in der ISAKMP DOI [rfc2407] definiert. Es handelt sich um neun symmetrische Blockchiffren und zwei symmetrische Stromchiffren, von denen die Eine allerdings die NULL Encryption ist, was keine Verschl├╝sselung bedeutet. Alle Blockchiffren werden im Cipher Block Chaining CBC betrieben. In [rfc2451] ist definiert, dass bei Einsatz des Modus CBC jedem verschl├╝sselten IP-Paket der Initialisierungswert IV voranzustellen ist, damit die einzelnen IP-Pakete auch entschl├╝sselt werden k├Ânnen, wenn ein Paket verloren geht. Die L├Ąnge des Initialisierungswertes soll der entsprechenden Blockgr├Â├če der verwendeten Chiffre entsprechen. Der Initialisierungswert des ersten Pakets soll dabei zuf├Ąllig generiert werden, wohingegen die weiteren Initialisierungswerte dem letzten Chiffretextblock des vorangegangenen Paketes entsprechen.

Die folgenden Chiffren sind f├╝r den Einsatz bei IPSec definiert, wobei nur zwei Chiffren implementiert werden m├╝ssen, die anderen k├Ânnen implementiert werden.

    ESP_DES_IV64 (1): Dies ist der Algorithmus DES, der im CBC-Modus betrieben wird und einen Initialisierungswert der L├Ąnge 64 Bit aufweist. Die effektive Schl├╝ssell├Ąnge betr├Ągt 56 Bit.

    ESP_DES (2): Die Definition ESP_DES bezeichnet die allgemeine Verschl├╝sselung mit DES. Dieser wird ebenfalls im CBC-Modus betrieben und weist eine Schl├╝ssell├Ąnge von 56 Bit auf. Zur Authentifizierung des Payloads ist der Algorithmus HMAC unter Verwendung des Hashverfahrens MD5 definiert. Der Modus ESP_DES muss von allen IPSec Implementierungen unterst├╝tzt werden.

    ESP_3DES (3): Mit der Bezeichnung ESP_3DES ist der Triple-DES mit drei Schl├╝sseln und einer effektiven Schl├╝ssell├Ąnge von 168 Bit definiert. Zur Authentifizierung innerhalb des ESP ist HMAC in Verbindung mit MD5 vorgesehen. Alle IPSec Implementierungen sollten laut [rfc2407] diesen Modus unterst├╝tzen.

    ESP_RC5 (4): Hinter dieser Definition verbirgt sich der Algorithmus RC5, der ebenfalls im CBC-Modus betrieben wird. Die Schl├╝ssell├Ąnge ist bei RC5 variabel, in [rfc2451] wird jedoch eine Schl├╝ssell├Ąnge von 128 Bit als Defaultwert angegeben.

    ESP_IDEA (5): Der Modus ESP_IDEA bezieht sich auf den Algorithmus IDEA. Auch dieser wird im CBC-Modus betrieben. Die Schl├╝ssell├Ąnge betr├Ągt 128 Bit.

    ESP_CAST (6): Der Algorithmus CAST-128 wird ebenso, wie die anderen Blockchiffren, im CBC-Modus betrieben. Die Defaultl├Ąnge des Schl├╝ssels betr├Ągt 128 Bit.

    ESP_BLOWFISH (7): Dies ist der Algorithmus Blowfish im CBC-Modus. Die Schl├╝ssell├Ąnge ist auch hier variabel und der Defaultwert betr├Ągt 128 Bit.

    ESP_3IDEA (8): Die Bezeichnung ESP_3IDEA ist f├╝r den Triple-IDEA Algorithmus reserviert. Eine genauere Spezifikation liegt noch nicht vor.

    ESP_DES_IV32 (9): Hiermit ist der Betrieb des DES im CBC-Modus vorgesehen, wobei der Initialisierungswert nur 32 statt 64 Bit enth├Ąlt. Die effektive Schl├╝ssell├Ąnge betr├Ągt 56 Bit.

    ESP_RC4 (10): Diese Bezeichnung ist f├╝r die Stromchiffre RC4 reserviert. Eine genauere Spezifikation liegt jedoch noch nicht vor.

    ESP_NULL (11): Der Modus der NULL Encryption bietet keine Vertraulichkeit, da die Daten unver├Ąndert als Klartext ├╝bertragen werden. Der Modus ESP_NULL ist definiert, um IP-Pakete, die nicht verschl├╝sselt werden m├╝ssen, mittels ESP authentifizieren zu k├Ânnen. Dies erreicht man allerdings besser mit dem AH. Alle IPSec Implementierungen m├╝ssen den Modus ESP_NULL unterst├╝tzen.

Zus├Ątzlich zu den hier aufgef├╝hrten Algorithmen wird derzeit die Integration der f├╝nf Kandidaten der AES-Endrunde in IPSec diskutiert. Dies sind die Verfahren AES, MARS, RC6, Serpent und Twofish. Im Falle von AES ist sogar angedacht, ihn zu den Muss-Implementierungen hinzuzuf├╝gen.

zur├╝ck     weiter

[Home] [IPSec] [SSL] [AES-Kandidaten] [├ťber mich] [Links] [G├Ąstebuch]