Encapsulating Security Payload

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Pour les articles homonymes, voir ESP.

Encapsulating Security Payload (ou ESP), est un protocole appartenant à la suite IPsec, permettant de combiner plusieurs services de sécurité : confidentialité, authentification et intégrité.

Le protocole ESP permet de combiner, à volonté, plusieurs services de sécurité comme la confidentialité des données par l'utilisation d'un système de chiffrement; l'authentification du paquet et de son émetteur (l'adresse source du paquet est celle de l'émetteur); l'intégrité des données (aucune altération volontaire ou non du paquet durant le transport) et l'unicité du paquet (pas de rejeu).

Par opposition à l'Authentication Header (AH), qui ajoute seulement un en-tête supplémentaire au paquet IP, ESP chiffre les données puis les encapsule.

ESP propose de l'authentification de la même manière que AH grâce à l'utilisation de données d'en-tête : Le SPI (Security Parameters Index) permet de caractériser l'association de sécurité utilisée pour la communication (SA). Les données d'authentification contiennent la valeur de vérification d'intégrité (ICV) permettant de vérifier l'authenticité des données du paquet.

Les données chiffrées sont contenues dans la partie « champ libre » (ou PayLoad Data) du paquet. Ce champ contient éventuellement aussi des données de synchronisation. Du bourrage (Padding), peut être ajouté si nécessaire. Sa longueur est spécifiée dans le champ prévu à cet effet. Enfin, le champ En-tête suivant (Next Header) indique la nature des informations contenues dans le Payload Data (champ libre).

Un paquet ESP se présente comme suit :

Significations :

Index du paramètre de sécurité (SPI)

identifie les paramètres de sécurité en fonction de l'adresse IP

Numéro de séquence

un compteur qui évite les attaques par répétition

Données attachées

les données à transférer

Remplissage

permet d'obtenir une taille de bloc compatible avec le chiffrement

Longueur du remplissage

exprimée en octets

En-tête suivant

identifie le protocole utilisé pour le transfert

Données d'authentification

contient les informations nécessaires pour authentifier le paquet

• IPsec
• Authentication Header
• Protocole réseau

• Portail de la sécurité des systèmes d'information
• Portail des télécommunications