Zum Hauptinhalt springen

5. Conformance Requirements (Konformitätsanforderungen)

5. Conformance Requirements (Konformitätsanforderungen)

Implementierungen, die Konformität oder Compliance mit dieser Spezifikation beanspruchen, MÜSSEN die hier beschriebene ESP-Syntax und -Verarbeitung für Unicast-Verkehr implementieren und MÜSSEN alle zusätzlichen Paketverarbeitungsanforderungen erfüllen, die vom Sicherheitsarchitekturdokument [Ken-Arch] auferlegt werden. Zusätzlich MUSS eine Implementierung, wenn sie behauptet, Multicast-Verkehr zu unterstützen, die zusätzlichen Anforderungen erfüllen, die für die Unterstützung eines solchen Verkehrs spezifiziert sind. Wenn der zum Berechnen eines ICV verwendete Schlüssel manuell verteilt wird, erfordert die korrekte Bereitstellung des Anti-Replay-Dienstes die korrekte Aufrechterhaltung des Zählerzustands beim Sender (über lokale Neustarts hinweg usw.), bis der Schlüssel ersetzt wird, und es würde wahrscheinlich keine automatisierte Wiederherstellungsmöglichkeit geben, wenn ein Zählerüberlauf unmittelbar bevorstünde. Daher SOLLTE eine konforme Implementierung NICHT den Anti-Replay-Dienst in Verbindung mit manuell geschlüsselten SAs bereitstellen.

Die obligatorisch zu implementierenden Algorithmen für die Verwendung mit ESP werden in einem separaten Dokument [Eas04] beschrieben, um die Aktualisierung der Algorithmusanforderungen unabhängig vom Protokoll selbst zu erleichtern. Zusätzliche Algorithmen, die über die für ESP vorgeschriebenen hinausgehen, KÖNNEN unterstützt werden.

Da die Verwendung von Verschlüsselung in ESP optional ist, ist auch die Unterstützung des "NULL"-Verschlüsselungsalgorithmus erforderlich, um die Konsistenz mit der Art und Weise zu wahren, wie ESP-Dienste ausgehandelt werden. Die Unterstützung der reinen Vertraulichkeitsdienstversion von ESP ist optional. Wenn eine Implementierung diesen Dienst anbietet, MUSS sie auch die Aushandlung des "NULL"-Integritätsalgorithmus unterstützen. BEACHTEN Sie, dass obwohl Integrität und Verschlüsselung unter den oben genannten Umständen jeweils "NULL" sein können, sie NICHT beide gleichzeitig "NULL" sein DÜRFEN.

Letztes Update am