ESP permet de combiner, à volonté, plusieurs services de sécurité. A savoir, la confidentialité des données par l'utilisation d'un système de chiffrement ; l'authentification du paquet et de son émetteur (l'adresse source du paquet est celle de l'émetteur) ; l'intégrité des données (aucune altération volontaire ou non du paquet durant le transport) et l'unicité du paquet (pas de rejeu).
If faut noter que service d'authentification n'est pas obligatoire sauf si le service de confidentialité n'est pas utilisé.
Par opposition à AH, qui ajoute seulement une en-tête supplémentaire au paquet IP, ESP chiffre les données puis les encapsule.
ESP propose de l'authentification de la même manière que AH gràce à l'utilisation de données d'en-tête :
Le SPI (Security Parameters Index) permet de caractériser l'association de sécurité utilisée pour la communication (SA).
Les données d'authentification contiennent la valeur de vérification d'intégrité (ICV) permettant de vérifier l'authenticité des données du paquet.
Un numéro de séquence pour éviter le rejeu.
Les données chiffrées sont contenues dans la partie « champ libre » (ou PayLoad Data) du paquet. Ce champ contient éventuellement aussi des données de synchronisation. Du bourrage (Padding), peut être ajouté si nécessaire. Sa longueur est spécifiée dans le champ prévu à cet effet.
Enfin, le champs En-tête suivant (Next Header) indique la nature des informations contenues dans le Payload Data (champ libre).
Pour l'authentification et l'intégrité des données, ESP utilise HMAC, une évolution des algorithmes de hashage classiques. En effet, il s'agit d'un algorithme de hashing MD5 ou SHA-1 avec en plus l'utilisation d'une clef secrète partagée entre les hôtes. Le hashé chiffré représente une signature du message.
Les méthodes de cryptage utilisé par ESP :
DES (Data Encryption Standard): C'est une système de cryptage symétrique mis au point par IBM : il met en jeu une clé unique pour chiffrer et déchiffrer les messages. La confidentialité du message repose donc sur le secret de cette clé. La transmission de la clé doit donc être sécurisée. Il opère sur des blocs de 64 bits (dont huit derniers bits de parité).
3DES (Triple Data Encryption Standard): 3DES consiste en l'utilisation à trois reprises de DES. Ce qui le rend plus fiable car il met en jeu trois clefs différentes, mais donc plus lent.
Par ailleurs, il existe deux codes pour les protocoles sans effet :
Algorithme de chiffrage NULL
Algorithme d'authentification NULL
root 2004-05-04