3. Выбор алгоритма
Для того, чтобы реализация IPsec была интероперабельной, она должна поддерживать по крайней мере один алгоритм защиты. В этом разделе приведены требования по реализации алгоритмов защиты для соответствующих спецификации реализаций протоколов ESP и AH. Алгоритмы защиты, реальго используемые любой конкретной защищенной связью ESP или AH, определяются механизмом согласования (таким, как IKE1 [RFC2409, IKEv2]) или задаются заранее.
Естественно, допускается реализация дополнительных (стандартных или фирменных) алгоритмов, не упомянутых в этом документе.
3.1. Протокол ESP
Требования в поддержке алгоритмов защиты для соответствующих спецификации реализаций протокола ESP приведены ниже. Определения уровней требований содержатся в разделе 2.
| Требования | Алгоритм шифрования |
| MUST — обязательно | NULL |
| MUST- — обязательно, но может утратить статус | TripleDES-CBC [RFC2451] |
| SHOULD+ — следует, но может стать обязательным | AES-CBC с ключами размером 128 битов [RFC3602] |
| SHOULD — следует | AES-CTR [RFC3686] |
| SHOULD NOT — не следует | DES-CBC [RFC2405] |
| Требования | Алгоритм идентификации |
| MUST — обязательно | HMAC-SHA1-96 [RFC2404] |
| MUST — обязательно | NULL |
| SHOULD+ — следует, но может стать обязательным | AES-XCBC-MAC-96 [RFC3566] |
| MAY — возможно | HMAC-MD5-96 [RFC2403] |