Encapsulating Security Payload
O protocolo Encapsulating Security Payload (ESP) proporciona confidencialidade de dados e, como opção, autenticação da origem dos dados, verificação da integridade dos dados e proteção de repetição. A diferença entre o ESP e o protocolo Authentication Header (AH) é que o ESP proporciona ainda a codificação, para além de ambos proporcionarem autenticação, verificação da integridade e proteção de repetição. Com o ESP, ambos os sistemas de comunicação utilizam uma chave partilhada para codificação e descodificação dos dados que trocam.
Se decidir utilizar a codificação e a autenticação, o sistema receptor autenticará primeiro o pacote e, depois, se o primeiro passo for bem sucedido, prosseguirá com a descodificação. Este tipo de configuração reduz o tempo de processamento do sistema, bem como a sua vulnerabilidade a intrusões por negação de serviço.
Duas formas de utilizar o ESP |
O modo de transporte não autentica ou codifica o cabeçalho IP, o que poderia expor informações sobre o seu endereço a potenciais elementos estranhos, quando o datagrama estivesse em trânsito. O modo de transporte exige menos tempo de processamento do sistema do que o modo de direcionamento, mas não proporciona tanta segurança. Na maioria dos casos, os sistemas centrais utilizam o ESP em modo de transporte.
O modo de direcionamento cria um novo cabeçalho IP e utiliza-o como o cabeçalho IP mais afastado do datagrama, seguido pelo cabeçalho do ESP e, depois, pelo datagrama original (tanto o cabeçalho IP, como a carga útil original). O final do ESP e os dados de autenticação opcionais estão anexados à carga útil. Quando utilizar a codificação e a autenticação, o ESP protege completamente o datagrama original, uma vez que representa agora os dados da carga útil do novo pacote ESP. O ESP, no entanto, não protege o novo cabeçalho IP. As portas de ligação devem utilizar o ESP em modo de direcionamento.
Que algoritmos utiliza o ESP para proteger as minhas informações? |
A Internet Engineering Task Force (IETF) define formalmente DES em Request for Comment (RFC) 1829, The ESP DES-CBC Transform. A Internet Engineering Task Force (IETF) define formalmente 3DES em RFC 1851, The ESP Triple DES Transform. Pode visualizar estes RFCs na Internet, no seguinte site da Web: https://www.rfc-editor.org .
O ESP utiliza algoritmos HMAC-MD5 e HMAC-SHA para proporcionar funções de autenticação. Tanto os MD5 como os SHA recebem dados de input de comprimento variável e uma chave secreta para produzir dados de output de comprimento fixo (chamados valores de atribuição aleatória). Se a atribuição aleatória de duas mensagens corresponder, é bem provável que seja a mesma. Tanto os MD5 como os SHA codificam o comprimento da mensagem no seu output, mas os SHA são considerados mais seguros, uma vez que produzem atribuições aleatórias maiores.
A Internet Engineering Task Force (IETF) define formalmente HMAC-MD5 em Request for Comments (RFC) 2085, HMAC-MD5 IP Authentication with Replay Prevention. A Internet Engineering Task Force (IETF) define formalmente os HMAC-SHA em Request for Comments (RFC) 2404, The Use of HMAC-SHA-1-96 within ESP and AH. Pode visualizar estes RFCs na Internet, no seguinte site da Web: https://www.rfc-editor.org .