AH permet d'assurer l'intégrité et l'authentification de l'origine des paquets IP mais pas la confidentialité des données.
Le paquet IP se voit affecté d'un nouveau champ permettant de vérifier l'authenticité des données. Ce champ contient un hashé (digest MD5 ou SHA-1) appelé « Integrity Check Value ». Aussi, la protection contre le rejeu (réinjection de paquet) se fait grâce à un numéro de séquence et permet d'éviter les attaques par inondation.
Les paramètres de sécurité liés à la communication sont identifiés par un identifiant unique (Security Parameters Index) caractérisant la Security Association (SA). C'est une combinaison de l'adresse du destinataire et du protocole utilisé.
Ce protocole donne les moyens de garantir :
- l'authentification du paquet et de son émetteur (si l'adresse source du paquet est celle de l'émetteur).
- L'unicité du paquet (pas de rejeu).
- L'intégrité des données (aucune altération volontaire ou non du paquet durant le transport).
Seuls certains champs sont certifiés dans le paquet: La version d'IP, longueur de l'entête/des données/du paquet, les données (en mode tunnel ou transport), l'identificateur de flux, Protocole ou entête suivant, Adresse IP de la source et du destinataire.
Les autres ne le sont pas car il changent de valeur au cours de la durée de vie du paquet (ex : TTL, Classe traffic ?).
Pour une protection totale du paquet IP, il faut utiliser le mode Tunnel.
Les différentes méthodes d'intégrité utilisées dans ce mode sont :
MD5 (Message Digest 5): l'algorithme de hachage MD5 à été conçu par Rivest (un des concepteur de RSA). Il opère sur des blocs de 512 bits. Le résultat d'un hashage MD5 est un digest de 128 bits (4 * 32 bits).
SHA-1 (Secure Hash Algorithme 1): La NSA et le NIST s'ont à l'origine de cette méthode basée sur MD4. Il fonctionne avec des blocs de 512 bits, Clé de 160 bits.
L'application de ces méthodes sur un message produit un digest (hashé) permettant de certifier l'intégrité et l'authenticité du message : Il est impossible de retrouver le message à partir du digest ; Si un bit du message change, le digest résultant est très différent à cause de l'effet d'avalanche.
D'autres algorithmes peuvent être utilisés dan l'implémentation d'IPSec: exemple MAC (basé sur DES).
root 2004-05-04