một số câu hỏi về IPSEC ESN

Tính năng ESN được mô tả trong RFC 4303. Đây là một số câu hỏi khiến tôi băn khoăn:

1. Khi sử dụng ESN kết hợp với alogrithom AES_GCM hoặc AES_GMAC, tôi có cần thêm các bit ESN bậc cao vào các gói không?
   Theo RFC 4303: Nếu thuật toán chế độ kết hợp được sử dụng, lựa chọn thuật toán sẽ xác định liệu các bit ESN bậc cao có được truyền đi hay được đưa vào hoàn toàn trong quá trình tính toán hay không. Theo RFC 4106, người ta nói rằng các bit ESN cần phải là một phần của định dạng AAD, điều đó có nghĩa là các bit ESN phải được thêm vào các gói?

2. Trong thuật toán nào chúng ta cần thêm phần đệm icv khi sử dụng ESN? Trong hình này từ RFC4303, phần đệm icv sẽ thêm vào trong một số trường hợp, nhưng tôi thấy thuật toán hmac, nó không cần thêm phần đệm khi tính toán icv.

Theo RFC 4106, người ta nói rằng các bit ESN cần phải là một phần của định dạng AAD, điều đó có nghĩa là các bit ESN phải được thêm vào các gói?

Không. Dữ liệu xác thực bổ sung (AAD) được bao gồm trong tính toán AES-GCM không được gửi ở dạng đó. Đó là toàn bộ quan điểm của AAD, chúng không phải là một phần của dữ liệu được mã hóa.

Về mặt lý thuyết, các thuật toán ở chế độ kết hợp có thể sao chép số thứ tự hoàn chỉnh (và SPI) trong Dữ liệu tải trọng ESP nếu chúng không sử dụng AAD mà chỉ xác thực dữ liệu được mã hóa (xem phần 2 của RFC 4303). Định dạng của dữ liệu đó phải được xác định cho từng thuật toán. Như bạn có thể thấy trong phần 3 của RFC 4106, AES-GCM không yêu cầu mã hóa SPI và số thứ tự, chỉ IV.

Trong thuật toán nào chúng ta cần thêm phần đệm icv khi sử dụng ESN?

Xem phần cuối của phần 3.3.2.1 của RFC 4303, giải thích rằng phần đệm ẩn này có thể cần thiết cho các thuật toán toàn vẹn yêu cầu đầu vào là bội số của một kích thước khối cụ thể. Các HMAC xử lý phần đệm cho các kích thước khối bên trong bên trong, vì vậy IPsec không phải thêm phần đệm bổ sung (xem ví dụ: phần 2.2 của RFC 4868).