Статус документа
Это документ содержит проект стандарта протокола Internet для сообщества Internet и служит приглашением к дискуссии в целях развития и совершенствования протокола. Текущее состояние стандартизации и статус протокола можно узнать из текущей версии документа "Internet Official Protocol Standards" (STD 1). Допускается свободное распространение документа.
Тезисы
В серии протоколов IPsec используются различные криптографические алгоритмы для защиты передаваемых через сеть данных. Протоколы ESP и AH обеспечивают два механизма защиты данных при передаче через защищенные связи IPsec SA. Для обеспечения интероперабельности разнородных реализаций требуется задать набор обязательных для реализации алгоритмов, чтобы всем реализациям был доступен по крайней мере один алгоритм. В этом документе определен текущий вариант набора обязательных для реализаций ESP и AH алгоритмов, а также указаны алгоритмы, которые следует реализовать, поскольку они могут стать обязательными в будущем.
- ESP (Encapsulating Security Payload) - и инкапсуляция защищенных данных.
- AH (Authentication Header) - идентификационный заголовок.
- SA (Security Association) - защищенная связь.
Оглавление
- 1. Введение
- 2. Обозначения уровня требований
- 3. Выбор алгоритма
- 3.1. Encapsulating Security Payload
- 3.1.1. ESP Encryption and Authentication Algorithms
- 3.1.2. ESP Combined Mode Algorithms
- 3.2. Authentication Header
- 4. Вопросы безопасности
- 5. Благодарности
- 6. Отличия от RFC 2402 и 2406
- 7. Нормативные документы
- 8. Дополнительная литература
1. Введение
Протоколы ESP и AH обеспечивают два механизма защиты данных при передаче через защищенные связи IPsec SA [IPsec, ESP, AH]. Для обеспечения интероперабельности разнородных реализаций требуется задать набор обязательных для реализации алгоритмов, чтобы всем реализациям был доступен по крайней мере один алгоритм. В этом документе определен текущий вариант набора обязательных для реализаций ESP и AH алгоритмов, а также указаны алгоритмы, которые следует реализовать, поскольку они могут стать обязательными в будущем.
По самой природе криптографии пространство новых алгоритмов и существующие алгоритмы подвергаются непрерывным атакам. Алгоритмы, считающиеся достаточно сильными сегодня, могут завтра обнаружить свои уязвимости. С учетом этого выбирать обязательные для реализации алгоритмы следует достаточно консервативно для снижения вероятности быстрой компрометации выбранных алгоритмов. Следует также принимать во внимание вопросы производительности, поскольку многие приложения IPsec будут использоваться в средах, где производительность важна.