Tietoturvan hyötykuorman kapselointi (Encapsulating Security Payload) eli ESP on osa IPsec-protokollaa. Sitä käytetään verkon tietoliikenteen salaamiseen ja turvaamiseen.
ESP-protokolla tarjoaa tietojen salausta ja datapakettien autentikointia, jolloin se antaa lisäturvaa tietoverkkojen yli lähetettävään viestintään. Esimerkiksi VPN-sovellukset perustuvat pitkälti tähän teknologiaan.
Mitä tietoturvan hyötykuorman kapselointi tarkoittaa?
Tietoturvan hyötykuorman kapselointi– EPS (Encapsulating Security Payload) – on IPSec-protokolla, joka mahdollistaa IPv4- ja IPv6-pohjaisissa tietoverkoissa verkkopakettien ja hyötykuorman todennuksen, eheyden ja luottamuksellisuuden.
EPS:n vastuulla on viestin ja hyötykuorman salaus sekä niiden alkuperän todentaminen IPSec-protokollapaketin sisällä. Tämä toteutetaan käytännössä datapaketin otsikkotietojen yhteydessä, jolloin varsinainen data voidaan kapseloida tietoturvallisesti.
Techopedia selittää tietoturvan hyötykuorman kapseloinnin
EPS on ensisijaisesti suunniteltu tarjoamaan salaus-, todennus- ja suojauspalveluja IP-verkossa siirrettävälle tiedolle tai hyötykuormalle.
Se tukee sekä tunnelimoodia että siirtomoodia, jolloin voidaan tarkemmin määrittää se, mikä osa datapaketista salataan. Esimerkiksi VPN-yhteyksissä käytetään tunnelimoodia, jolloin alkuperäinen datapaketti ikään kuin kääritään eli kapseloidaan toisen kryptatun paketin sisään.
Siirtomoodissa taas salataan ainoastaan datapaketin sisältö eli hyötykuorma. Tällöin sen otsikko jätetään suojaamatta, jolloin viestintään ei tarvitse käyttää niin paljoa prosessointia.
Tyypillisesti IP-verkon datapaketissa ESP-otsikko sijoitetaan IP-otsakkeen jälkeen. ESP-otsikon osat ovat järjestysnumero, hyötykuorman tiedot, pehmuste, seuraava otsikko, eheyden tarkistus ja järjestysnumero.
Miten tietoturvan hyötykuorman kapselointi toimii?
ESP:n toiminta on pitkälti hyvin samanlaista kuin monien muiden tietoliikenteen salaamiseen liittyvien protokollien.
Sen tärkeimmät ominaisuudet perustuvat kolmeen keskeiseen tekijään:
- Salaus (Encryption)
- Eheyden varmistaminen (Integrity Check):
- Autentikointi (Authentication):
Koska kyseistä protokollaa käytetään erityisesti osana IPsec-protokollaa, sen tehtävänä on hoitaa datapakettien salaus. Se pyritään tietysti tekemään siten, etteivät ulkopuoliset voi lukea pakettien sisältöä.
Tietoturvan hyötykuorman kapselointi tarkistaa datapakettien vastaanottamisen yhteydessä niiden eheyden. Tällä pyritään varmistamaan, ettei kukaan ulkopuolinen ole napannut viestiä ja muuttanut sen sisältöä. Usein tämä tehdään käyttämällä HMAC-algoritmeja (Hashed Message Authentication Code).
Viimeinen toimenpide on alkuperäisen viestin lähettäjän identiteetin tarkistaminen. Näin voidaan olla varmoja, että datapaketti on peräisin sellaisesta lähteestä, josta sen odotetaankin olevan.
Kun paketti lähetetään tietoverkkoon, ESP-protolla huolehtii siitä, että se luo oman otsikon datapaketille. Tämä header-osio sisältää sen toiminnan kannalta keskeistä tietoa, kuten turvallisuusyhdistimen sekä sekvenssinumeron.
Tämän jälkeen protokolla salaa varsinainen datan eli tässä yhteydessä niin sanotun hyötykuorman. Sen jälkeen luodaan suojaukselle varmiste sekä viestin autentikointiin liittyvä data, jotta datapaketin eheys ja autentikointi voidaan varmistaa.
Viimeisenä toimenpiteenä on lähettää data tietoverkon kautta sen vastaanottajalle, joka voi avata lähetetyn paketin salaustekniikoiden avulla.
EPS:ää käytetään osana IPsec-protokollaa esimerkiksi VPN-yhteyksien ja -sovelluksien luomisessa. Näin ollen se on hyvin yleisesti käytössä ympäri maailman.