Aller au contenu principal

5. Conformance Requirements (Exigences de conformité)

5. Conformance Requirements (Exigences de conformité)

Les implémentations qui revendiquent la conformité ou la compliance avec cette spécification DOIVENT implémenter la syntaxe et le traitement ESP décrits ici pour le trafic unicast, et DOIVENT se conformer à toutes les exigences supplémentaires de traitement des paquets imposées par le document d'architecture de sécurité [Ken-Arch]. De plus, si une implémentation prétend prendre en charge le trafic multicast, elle DOIT se conformer aux exigences supplémentaires spécifiées pour la prise en charge de ce trafic. Si la clé utilisée pour calculer un ICV est distribuée manuellement, la fourniture correcte du service anti-rejeu nécessite un maintien correct de l'état du compteur à l'émetteur (à travers les redémarrages locaux, etc.), jusqu'à ce que la clé soit remplacée, et il n'y aurait probablement aucune disposition de récupération automatique si un débordement du compteur était imminent. Ainsi, une implémentation conforme NE DEVRAIT PAS fournir le service anti-rejeu en conjonction avec des SA à clés manuelles.

Les algorithmes obligatoires à implémenter pour une utilisation avec ESP sont décrits dans un document séparé [Eas04], afin de faciliter la mise à jour des exigences d'algorithme indépendamment du protocole en tant que tel. Des algorithmes supplémentaires, au-delà de ceux mandatés pour ESP, PEUVENT être pris en charge.

Parce que l'utilisation du chiffrement dans ESP est optionnelle, la prise en charge de l'algorithme de chiffrement "NULL" est également requise pour maintenir la cohérence avec la façon dont les services ESP sont négociés. La prise en charge de la version de service ESP de confidentialité uniquement est optionnelle. Si une implémentation offre ce service, elle DOIT également prendre en charge la négociation de l'algorithme d'intégrité "NULL". NOTEZ que bien que l'intégrité et le chiffrement puissent chacun être "NULL" dans les circonstances notées ci-dessus, ils NE DOIVENT PAS être tous les deux "NULL".

Dernière mise à jour le