Для того чтобы шифрация с открытым ключом имела смысл, пользователи должны быть уверены, что сторона, с которой осуществляется связь, заслуживает доверия. И чтобы удостовериться в этом, используется регистрация всех пользователей PKI, называемая сертификацией открытых ключей. Центр сертификации является представителем пользователя при создании цифровых сертификатов...

Вначале мы совершим беглый обзор возникающих проблем, после чего перейдем к описанию основных RFC и рабочих документов, относящихся к теме. Из-за того что стандарты Интернета постоянно изменяются, процедуры обмена ключами в Интернете, опубликованные в RFC, в некоторой степени повторяют...

В соответствии с RFC 2709, основными аспектами операций IPSec-NAT являются: Устройство NAT применяет правила безопасности на основе локальной области адресации. Правила безопасности задают конечную точку туннеля IPSec. Пакет IPSec может подвергнуться различным видам преобразований, в зависимости от конечной точки туннеля...

Для алгоритмов MD5 и SHA-1 следующее верно: НМАС — это алгоритм идентификации с секретным ключом. Удостоверение происхождения данных и их сохранности, обеспечиваемое НМАС, зависит от способа распространения секретного ключа. Если ключ НМАС известен только отправителю и получателю, то этот алгоритм обеспечивает идентификацию пакетов, посланных между этими двумя сторонами. Если переданная и вычисленная величины...

Создание заголовка для туннельного режима IPSec описывает обработку внутреннего и внешнего заголовков, заголовков расширений и настроек туннелей АН и ESP. Сюда входит создание внешнего IP-заголовка, обработка полей внутреннего IP-заголовка, и другие необходимые действия. Основная идея взята из описания в RFC 2003, «Встраивание IP с помощью IP» (IP Encapsulation with IP)...

Он создается у отправителя следующим образом. Первое — генерируется заголовок ESP. Затем к нему добавляются пользовательские данные (полезная нагрузка). После этого создается кон-цевик ESP и добавляется к данным. В этом концевике находится номер протокола внедренного пакета (такой как TCP или UDP), или, если используется туннельный режим, это значение будет содержать номер IP-B-IP (4). Кроме того, концевик ESP...

Значок туннеля обозначает одну или более ассоциаций безопасности, а пунктирная линия — узлы IPSec, участвующие в передаче, а также логический поток данных IPSec. Сплошная линия представляет физический поток данных. Для простоты концевик ESP и поле MAC (за ULP) не приводятся в этих примерах. Случай 1 показан на 9.11. Он разрешает использование между хостами как транспортного...

Если необходимо, то повторная сборка выполняется перед обработкой ESP. Если пакет, пришедший на обработку ESP, является фрагментом, то есть поле смещения фрагмента не равно нулю или установлен флаг, указывающий, что должны прийти еще фрагменты, то тогда получатель должен отвергнуть такой пакет и сообщить об ошибке. Запись об этом должна содержать значение SPI, дату и время получения, адрес отправителя, адрес получателя...

ESP был опубликован в двух «версиях». Первая была описана в RFC 1827, и в этой части главы мы обсудим эту раннюю спецификацию. RFC 1827 На 9.9 приведен формат заголовка ESP в соответствии с RFC 1827. Он состоит из поля SPI и непрозрачных данных. Поле SPI определяет...

Что и как делает ESP Уже знакомый вам протокол «Вложенные защищенные передаваемые данные IР» (IP Encapsulating Security Payload — ESP) является механизмом обеспечения сохранности и конфиденциальности датаграмм IP. Кроме того, ESP может быть использован для удостоверения происхождения данных, в зависимости от используемых алгоритмов. Безотказность работы и защита анализом данных не предусмотрены...