으며, Triple DES와 맞먹는 사이퍼cypher이다. 블로피시는 Scheier에 의해 개발된 가변적 길이의 사이퍼로서 공격자를 쉬지 못하게 만들기 위해 고안된 것이다. DES 이외의 알고리즘을 선택하는 것이 구현자에 달렸다. 암호화 알고리즘을 선택하게 되면 여러 가지 이점이 있다. 잠재적인 공격자는 단순히 사이퍼를 공격하면 되는 것이 아니라 어떤 사이퍼를 깨뜨리고자 할 것인지도 결정해야 한다. 이는 사이퍼 키의 전환rotation로 함께 단순히 한물 간 데이터를 해독할 수 있다는 희망 이외에는 공격자들이 건질 것이 없게 만든다.
■ SA(Security Association)
AH 프로토콜과 ESP프로토콜을 이용하여 다양한 보안서비스를 제공하기 위하여 보안 프로토콜 각각에 대한 보안 매개변수 집합을 정의하는 역할을 하고, 보안 연계를 유지 관리하는 기능은 ISAKMP 모듈이 수행한다.
* 주요 보안연계 서비스
- AH프로토콜에서 사용된 알고리즘과 사용된 키
- ESP 프로토콜에서 사용된 암호 알고리즘과 사용된 키
- ESP 프로토콜에서 사용된 인증 알고리즘과 사용된 키
- 기타 보안 연계 설정과 관련된 부가 사항
■ Replay attack
공격자가 인증된 패킷의 복사본을 입수하여 보관하고 있다가 나중에 패킷의 원래 목적지로 전송하는 것. 전달된 복사본을 수신하게 되면 인증된 IP패킷은 서비스를 방해하거나 원치 않는 말썽을 일으킨다.
■ Sequence Numbers in IPSec
- 송신자가 데이터를 전송할 때, 각 패킷에 그 패킷의 번호를 붙여서 전송하면 수신자는
그 번호를 보고, 새로 받은 패킷이 재전송된 패킷인지, 아니면 새로운 패킷인지를 구분
- 32bits 로 구성
- 첫 패킷은 Zero, 이후 1씩 증가
■ Anti-replay attack
송신자
- Sequence Number 카운터를 0으로 초기화
- 하나의 패킷이 SA를 통해 보내질 때마다 카운터 값을
증가시키고 Sequence Number Field에 기록
- 마지막 수 232-1에 도달하면 송신자는 SA를 종료하고 새
키를 가지고 새로운 SA를 진행
수신자
- Sliding Window (Size=64) 사용
- 오른쪽 끝(N)은 가장 큰 Sequence Number
- (N-W+1)~N까지 인증된 수신 패킷에 대해서 Window 안에 해당되는
Sequence Number의 슬롯에 표시