Encapsulating Security Payload

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche

Encapsulating Security Payload (ou ESP), est un protocole appartenant à la suite IPsec, permettant de combiner plusieurs services de sécurité : confidentialité, authentification et intégrité.

Présentation[modifier | modifier le code]

Le protocole ESP permet de combiner, à volonté, plusieurs services de sécurité comme la confidentialité des données par l'utilisation d'un système de chiffrement; l'authentification du paquet et de son émetteur (l'adresse source du paquet est celle de l'émetteur); l'intégrité des données (aucune altération volontaire ou non du paquet durant le transport) et l'unicité du paquet (pas de rejeu).

Par opposition à l'Authentication Header (AH), qui ajoute seulement un en-tête supplémentaire au paquet IP, ESP chiffre les données puis les encapsule.

Propriétés[modifier | modifier le code]

ESP propose de l'authentification de la même manière que AH grâce à l'utilisation de données d'en-tête : Le SPI (Security Parameters Index) permet de caractériser l'association de sécurité utilisée pour la communication (SA). Les données d'authentification contiennent la valeur de vérification d'intégrité (ICV) permettant de vérifier l'authenticité des données du paquet.

Les données chiffrées sont contenues dans la partie « champ libre » (ou PayLoad Data) du paquet. Ce champ contient éventuellement aussi des données de synchronisation. Du bourrage (Padding), peut être ajouté si nécessaire. Sa longueur est spécifiée dans le champ prévu à cet effet. Enfin, le champ En-tête suivant (Next Header) indique la nature des informations contenues dans le Payload Data (champ libre).

Description d'un paquet ESP[modifier | modifier le code]

Un paquet ESP se présente comme suit :

0 1 2 3
0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7
Index du paramètre de sécurité (SPI)
Numéro de séquence

Données attachées * (variable)

  Remplissage (0-255 octets)
    Longueur du remplissage En-tête suivant

Données d'authentification (variable)

Significations :

Index du paramètre de sécurité (SPI) 
identifie les paramètres de sécurité en fonction de l'adresse IP
Numéro de séquence 
un compteur qui évite les attaques par répétition
Données attachées 
les données à transférer
Remplissage 
permet d'obtenir une taille de bloc compatible avec le chiffrement
Longueur du remplissage 
exprimée en octets
En-tête suivant 
identifie le protocole utilisé pour le transfert
Données d'authentification 
contient les informations nécessaires pour authentifier le paquet

Voir aussi[modifier | modifier le code]