Passa al contenuto principale

2.7. Traffic Flow Confidentiality (TFC) Padding (Padding TFC)

Come notato sopra, il campo Padding è limitato a 255 byte di lunghezza. Questo generalmente non sarà adeguato per nascondere le caratteristiche del traffico relative ai requisiti di riservatezza del flusso di traffico. Un campo opzionale, all'interno dei dati del payload, è fornito specificamente per affrontare il requisito TFC.

Un'implementazione IPsec DOVREBBE essere in grado di effettuare il padding del traffico aggiungendo byte dopo la fine dei Payload Data, prima dell'inizio del campo Padding. Tuttavia, questo padding (di seguito indicato come padding TFC) può essere aggiunto solo se il campo Payload Data contiene una specifica della lunghezza del datagramma IP. Questo è sempre vero in modalità tunnel, e può essere vero in modalità trasporto a seconda che il protocollo del livello successivo (ad esempio IP, UDP, ICMP) contenga informazioni esplicite sulla lunghezza. Queste informazioni sulla lunghezza consentiranno al ricevitore di scartare il padding TFC, perché la vera lunghezza dei Payload Data sarà nota. (I campi del trailer ESP sono localizzati contando all'indietro dalla fine del pacchetto ESP.) Di conseguenza, se viene aggiunto il padding TFC, il campo contenente la specifica della lunghezza del datagramma IP NON DEVE essere modificato per riflettere questo padding. Nessun requisito per il valore di questo padding è stabilito da questo standard.

In linea di principio, le implementazioni IPsec esistenti avrebbero potuto fare uso di questa capacità in precedenza, in modo trasparente. Tuttavia, poiché i ricevitori potrebbero non essere stati preparati a gestire questo padding, il protocollo di gestione SA DEVE negoziare questo servizio prima che un trasmettitore lo impieghi, per garantire la compatibilità all'indietro. Combinata con la convenzione descritta nella sezione 2.6 sopra, riguardo all'uso dell'ID protocollo 59, un'implementazione ESP è in grado di generare pacchetti fittizi e reali che mostrano una variabilità di lunghezza molto maggiore, a supporto del TFC.

Le implementazioni DOVREBBERO fornire controlli di gestione locali per abilitare l'uso di questa capacità su base per SA. I controlli dovrebbero consentire all'utente di specificare se questa funzionalità deve essere utilizzata e fornire anche controlli parametrici per la funzionalità.

Ultimo aggiornamento il