ネットワーク用語 > ESP
ESP †
ESP = Encapsulated Security Payload
ESP( Encapsulating Security Payload )
IPsecにおいて、パケットのデータ部を暗号化し、途中経路での盗聴から守るプロトコルを何と言う?
回答
ESP(Encapsulating Security Payload)
解説
ESPは、IPパケットの暗号化と、送信データの改ざん検出を同時に行うためのプロトコルで、IPsecのもう一つのプロトコルであるAHとの違いは、IPパケットを暗号化できる点と、認証範囲にあて先IPアドレスが含まれない点になります。
ESPによるVPN構築方法には、トンネルモードと、トランスポートモードがあり、トンネルモードは、IPパケットそのものを暗号化し、ESPヘッダを付与し、ESPヘッダを含めて認証範囲とする認証データをフッター部に付与し、その後トンネル用のIPヘッダを新たに付与します。
一方、トランスポートモードはTCP、UDPデータを暗号化し、IPヘッダとの間にESPヘッダを挿入する形をとります。
トンネルモードを利用した場合には、本来のIPアドレスが暗号化される為、トランスポートモードよりもセキュリティーレベルが高いと言えます。
ESPヘッダ(イー・エス・ピー。Encapsulating Security Payload Header):RBB TODAY (ブロードバンド辞典)
ESPヘッダ(イー・エス・ピー―。Encapsulating Security Payload Header)
IPsecでは、認証に加えて暗号化も行う場合は、ESPヘッダが使用されます(RFC 2402)。
暗号化のアルゴリズムや鍵情報は、ESPヘッダ中のSPI(Security Parameters Index)で指定されるSA(Security Association)によって決まります。
ESPヘッダの本体には、暗号化されたペイロードおよびパケットの認証(完全性検査)のためのAuthentication Data(認証データ)が含まれています。
暗号化の方式としては、最低限DES-CBC(RFC 1829。鍵長56ビット)を実装することが必須です。
ESPのIPプロトコル番号には50が使われます。
IPsecで実装が義務づけられている、このDES-CBCとは、“Data Encryption Standard - Cipher Block Chaining”の略で、共通鍵暗号のDES(56ビット鍵長)を、CBCというやり方で連続するデータ・ブロックに適用する方式です。
CBCの適用によって、ブロック間のデータに関係が生じるので、暗号の解読がより困難になります。
http://www.atmarkit.co.jp/fwin2k/operation/remvpn01/remvpn01_02.html
IPsecプロトコルのフォーマット
IPsecにはパケットを暗号化しないモードもあるが、これは暗号化をする場合のフォーマットの例。
ESP(Encapsulating Security Payload)は、暗号化されたデータをカプセル化するためのヘッダ。
トランスポート・モードは1対1の接続に、それ以外はトンネル・モードで利用する。
http://www.ipa.go.jp/security/awareness/administrator/remote/capter7/7.html
ESP(Encapsulating Security Payload、暗号ペイロード)フォーマット
リンク †
IPsec - トランスポートモード・トンネルモード -
http://www.infraexpert.com/study/ipsec6.html
第7章リモートアクセスとVPN----7.7 IPsec
http://www.ipa.go.jp/security/awareness/administrator/remote/capter7/7.html
vpntech02.gif
esp.png
