Sicherheitsarchitektur für das Internet
RFC 2401 beschreibt unter dem Titel Security Architecture for the Internet Protocol
eine Sicherheitsarchitektur für das Internet, die als IPsec bezeichnet
wird. IPsec genügt hochwertigen Sicherheitsanforderungen in einer offenen
Umgebung auf der Vermittlungsschicht für IPv4 und IPv6. U.a. werden die
folgenden Sicherheitsdienste angeboten:
| Zugangskontrolle (access control), |
| Datenintegrität (connectionless integrity), |
| Authentisierung (data origin authentication), |
| Schutz vor Wiederholung (protection against replays, a form of partial sequence
integrity), |
| Vertraulichkeit durch Verschlüsselung (confidentiality by encryption), |
| Verkehrflußvertraulichkeit (limited traffic flow confidentiality), |
| IP-Kompression (IP compression). |
IPsec bietet diese Dienste der Vermittlungsschicht sowie allen Protokollen
auf höheren Schichten wie TCP, UDP,
ICMP, BGP, usw. an. Dazu kann ein System das benötigte Sicherheitsprotokoll
auswählen, die Algorithmen für die jeweiligen Dienste festlegen sowie
sämtliche benötigten kryptographischen Schlüssel erzeugen. Außerdem können
zwischen Endsystemen (Hosts) bzw. Transitsystemen (Security
Gateways) ein oder mehrere Verbindungen sicher aufgebaut und unterhalten
werden. Zusätzlich wird auf der Vermittlungsschicht Datenkompression angeboten,
da verschlüsselte Daten häufig wesentlich schlechter komprimierbar sind als
unverschlüsselte, also Kompression auf der Bitsicherungsschicht ineffektiver
wird.
|