Page 131 - 4784
P. 131
помилкового відтворення (коли третя сторона намагається повторно
використовувати перехоплені захищені пакети, відправлені реально
аутентіфіцированним відправником).
5. Поле даних аутентифікації (authentication data), яке
містить так зване значення перевірки цілісності (Integrity Check
Value, ICV), використовується для аутентифікації і перевірки
цілісності пакету. Це значення, зване також дайджестом,
обчислюється за допомогою однієї з двох обов'язково
підтримуваних протоколом АН обчислювально необоротних
функцій MD5 або SAH-1, але може використовуватися і будь-яка
інша функція.
ESP або Encapsulating Security Payload - інкапсуляція
зашифрованих даних - шифрує передані дані, забезпечуючи
конфіденційність, може також підтримувати аутентифікацію та
цілісність даних;
Протокол ESP вирішує дві групи завдань.
1. До першої належать завдання, аналогічні завданням
протоколу АН, - це забезпечення аутентифікації і цілісності даних
на основі дайджесту.
2. До другої - захист переданих даних шляхом їх
шифрування від несанкціонованого перегляду.
Тема ділиться на дві частини, що розділяються полем даних.
1. Перша частина, яка називається власне заголовком ESP,
утворюється двома полями (SPI і SN), призначення яких аналогічно
однойменним полям протоколу АН, і розміщується перед полем
даних.
2. Решта - службові поля протоколу ESP, звані кінцевиком
ESP, розташовані в кінці пакета.
Два поля кінцевика - наступного заголовка і даних
аутентифікації - аналогічні полям заголовка АН. Поле даних
аутентифікації відсутнє, якщо при встановленні безпечної асоціації
прийнято рішення не використовувати можливостей протоколу ESP
по забезпеченню цілісності. Крім цих полів кінцевик містить два
додаткових поля – заповнювач і довжини заповнювача.
Протоколи AH і ESP можуть захищати дані в двох режимах:
1. В транспортному - передача ведеться з оригінальними IP-
заголовками.
129
