IPsec - quando usare solo AH?

L'IP Authentication Header (AH) viene utilizzato per fornire connessioni senza connessione    integrità e autenticazione dell'origine dei dati per i datagrammi IP (di seguito    denominato semplicemente "autenticazione") e per fornire protezione    contro replay. Quest'ultimo, il servizio opzionale può essere selezionato, da    il destinatario, quando viene istituita un'associazione di sicurezza. (Sebbene    le chiamate predefinite per il mittente per incrementare il numero di sequenza    utilizzato per anti-replay, il servizio è efficace solo se il ricevitore    controlla il numero di sequenza.) AH fornisce l'autenticazione per tanto    dell'intestazione IP come possibile, così come per il protocollo di livello superiore    dati. Tuttavia, alcuni campi di intestazione IP possono cambiare in transito e il    valore di questi campi, quando il pacchetto arriva al destinatario, può    non essere prevedibile dal mittente. I valori di tali campi non possono    essere protetto da AH. Quindi la protezione fornita all'intestazione IP di    AH è alquanto frammentario.

AH può essere applicato da solo, in combinazione con l'incapsulamento IP    Security Payload (ESP) [KA97b], o in modo annidato attraverso il    uso della modalità tunnel (vedere "Architettura di sicurezza per Internet    Protocollo "[KA97a], di seguito denominato Architettura di sicurezza    documento). I servizi di sicurezza possono essere forniti tra un paio di    host di comunicazione, tra una coppia di sicurezza di comunicazione    gateway, o tra un gateway di sicurezza e un host. ESP può essere usato    per fornire gli stessi servizi di sicurezza e fornisce anche a    servizio di riservatezza (crittografia). La differenza principale tra    l'autenticazione fornita da ESP e AH è l'estensione di    copertura. In particolare, ESP non protegge i campi di intestazione IP

controlla questi link per maggiori dettagli

link

link

link

AH utilizza un codice di autenticazione dei messaggi ; questa è una funzione crittografica, parametrizzata con una chiave. Il MAC calcola un "token di autenticazione" per un dato messaggio (nel caso di AH, un pacchetto IP). Ogni valore MAC è specifico del messaggio e non può essere applicato a un altro messaggio. Pertanto, l'osservazione del valore MAC non dà a nessun router la possibilità di apportare modifiche non rilevate: il router non ha la chiave e quindi non può calcolare un valore MAC che corrisponda ai suoi pacchetti alterati.

AH include anche un numero di sequenza (che è coperto dal MAC) in modo che un router non possa riprodurre vecchi pacchetti.

Pertanto, AH può garantire integrità dei dati , anche in assenza di crittografia: l'integrità è assicurarsi che ciò che il destinatario riceve sia effettivamente, fino all'ultimo bit, ciò che il mittente ha inviato. Quando quel mittente viene anche identificato in modo affidabile (in un modo che non può essere simulato dagli estranei), allora abbiamo autenticità , che è un'integrità elevata. AH lo fornisce. Ciò che AH emette non è riservatezza : impedisce a terzi di leggere i dati. È necessario ESP per questo (nel contesto IPsec). AH potrebbe essere utile in situazioni in cui l'integrità è importante ma non confidenziale, o dove la riservatezza tramite ESP sarebbe troppo costosa (a seconda del sovraccarico computazionale della crittografia, che può essere elevato se l'hardware coinvolto è particolarmente debole ).