ネットワーク用語 > ESP

ESP

ESP = Encapsulated Security Payload

ESP( Encapsulating Security Payload )

IPsecにおいて、パケットのデータ部を暗号化し、途中経路での盗聴から守るプロトコルを何と言う?
 
回答
ESP(Encapsulating Security Payload)
 
解説
ESPは、IPパケットの暗号化と、送信データの改ざん検出を同時に行うためのプロトコルで、IPsecのもう一つのプロトコルであるAHとの違いは、IPパケットを暗号化できる点と、認証範囲にあて先IPアドレスが含まれない点になります。
ESPによるVPN構築方法には、トンネルモードと、トランスポートモードがあり、トンネルモードは、IPパケットそのものを暗号化し、ESPヘッダを付与し、ESPヘッダを含めて認証範囲とする認証データをフッター部に付与し、その後トンネル用のIPヘッダを新たに付与します。
一方、トランスポートモードはTCPUDPデータを暗号化し、IPヘッダとの間にESPヘッダを挿入する形をとります。
トンネルモードを利用した場合には、本来のIPアドレスが暗号化される為、トランスポートモードよりもセキュリティーレベルが高いと言えます。

ESPヘッダ(イー・エス・ピー。Encapsulating Security Payload Header):RBB TODAY (ブロードバンド辞典)

ESPヘッダ(イー・エス・ピー―。Encapsulating Security Payload Header)
 
IPsecでは、認証に加えて暗号化も行う場合は、ESPヘッダが使用されます(RFC 2402)。
暗号化のアルゴリズムや鍵情報は、ESPヘッダ中のSPI(Security Parameters Index)で指定されるSA(Security Association)によって決まります。
ESPヘッダの本体には、暗号化されたペイロードおよびパケットの認証(完全性検査)のためのAuthentication Data(認証データ)が含まれています。
暗号化の方式としては、最低限DES-CBC(RFC 1829。鍵長56ビット)を実装することが必須です。
ESPのIPプロトコル番号には50が使われます。
 
IPsecで実装が義務づけられている、このDES-CBCとは、“Data Encryption Standard - Cipher Block Chaining”の略で、共通鍵暗号のDES(56ビット鍵長)を、CBCというやり方で連続するデータ・ブロックに適用する方式です。
CBCの適用によって、ブロック間のデータに関係が生じるので、暗号の解読がより困難になります。

vpntech02.gif

http://www.atmarkit.co.jp/fwin2k/operation/remvpn01/remvpn01_02.html
IPsecプロトコルのフォーマット
IPsecにはパケットを暗号化しないモードもあるが、これは暗号化をする場合のフォーマットの例。
ESP(Encapsulating Security Payload)は、暗号化されたデータをカプセル化するためのヘッダ。
トランスポート・モードは1対1の接続に、それ以外はトンネル・モードで利用する。

esp.png

http://www.ipa.go.jp/security/awareness/administrator/remote/capter7/7.html
ESP(Encapsulating Security Payload、暗号ペイロード)フォーマット

リンク

AH
IPsec
トランスポートモード
トンネルモード

IPsec - トランスポートモード・トンネルモード -
http://www.infraexpert.com/study/ipsec6.html

第7章リモートアクセスとVPN----7.7 IPsec
http://www.ipa.go.jp/security/awareness/administrator/remote/capter7/7.html


添付ファイル: filevpntech02.gif 1185件 [詳細] fileesp.png 472件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-05-25 (木) 16:25:46 (239d)