Skip to content

Commit d503d82

Browse files
antonyantonyantonyantony
committed
minor rephrasing of action when cyrpto offset is grater than negotiated
few spelling fixes and white space changes figures use two white spaces instead of 1 for consitaency
1 parent 9590ba4 commit d503d82

File tree

1 file changed

+68
-63
lines changed

1 file changed

+68
-63
lines changed

eesp.org

Lines changed: 68 additions & 63 deletions
Original file line numberDiff line numberDiff line change
@@ -812,10 +812,10 @@ When receiving a packet, the receiver MUST use the anti-replay window
812812
and counter associated with the sequence number subspace identified
813813
with the subspace ID field.
814814

815-
The receiver MUST drop any packet received with a subpace ID value
815+
The receiver MUST drop any packet received with a subspace ID value
816816
greater or equal to N. Receiving such packets is an auditable
817817
event. The audit log entry for this event SHOULD include the SPI value,
818-
subpace ID value, current date/time, Source Address, Destination Address,
818+
subspace ID value, current date/time, Source Address, Destination Address,
819819
and (in IPv6) the cleartext Flow ID.
820820

821821
Note: Since the sender may decide to only use a subset of the
@@ -938,23 +938,23 @@ intermediate devices.
938938

939939
*** EESP Crypt Offset Option
940940
This option is typically used for within one Datacenter use case
941-
such as [[PSP]]. When enabled full packet format, with Payload Info
941+
such as [[PSP]]. When enabled, full packet format with Payload Info
942942
Header MUST be used; for the intermediate router to have Next Header.
943943

944-
The Crypt Offset can vary on a per packet basis. The maxinum
944+
The Crypt Offset can vary on a per packet basis. The maximum
945945
allowed Crypt Offset MUST be negotiated by IKEv2 or any other
946-
appropriate protocol. Packets with a Crypt Offset bigger than
946+
appropriate protocol. Packets with a Crypt Offset grater than
947947
the negotiated maximum MUST be dropped by the receiver.
948-
Receiving such packets is an auditable event. The audit log entry
949-
for this event SHOULD include the SPI value, subpace ID value,
950-
current date/time, Source Address, Destination Address, and
951-
(in IPv6) the cleartext Flow ID.
952-
953-
The receiver SHOULD check the ICV value in this case. The action
954-
in case of a correct ICV value depends on local policy. However,
955-
it is recommented to tear down the connection as it can't be
948+
The receiver SHOULD cryptographically process such packets anyway.
949+
The action in case of a correct ICV value depends on local policy.
950+
However, it is recommended to tear down the connection as it can't be
956951
considered as secure anymore.
957952

953+
Receiving such packets is an auditable event. The audit log entry for
954+
this event SHOULD include the SPI value, subspace ID value, current
955+
date/time, Source Address, Destination Address, and (in IPv6) the
956+
cleartext Flow ID.
957+
958958
NOTE: This is for the use in Datacenters ONLY. It might be moved to
959959
a separate document that defines the 'EESP use for Datacenters'.
960960

@@ -1208,13 +1208,15 @@ Header, any Optional Headers and Peer Header.
12081208
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Int
12091209
| | egr
12101210
~ Peer Header (variable) ~ ity
1211-
| | |
1211+
| | |
12121212
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Pro
12131213
| | tec
1214-
~ Encrypted Payload Data (variable) ~ ted
1214+
~ Encrypted Payload Data (variable) ~ ted
12151215
| | |
12161216
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+--+
1217+
| |
12171218
~ Integrity Check Value-ICV (variable) ~
1219+
| |
12181220
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
12191221
#+end_src
12201222

@@ -1226,62 +1228,65 @@ included in the AAD.
12261228
#+caption: EESP Tunnel Mode AAD with Crypt Offset
12271229
#+name: eesp-aad-crypt-offset
12281230
#+begin_src
1229-
0 1 2 3
1230-
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
1231-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+--+
1232-
| | |
1233-
| Base Header ~ |
1234-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-++|
1235-
| Crypt Offset Optional Header | |
1236-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-++| Int
1237-
| | egr
1238-
~ Peer Header (variable) ~ ity
1239-
| | |
1240-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-++| Pro
1241-
| Plaintext Payload Data (variable) | tec
1242-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-++| ted
1243-
| | |
1244-
~ Encrypted Payload Data (variable) ~ |
1245-
| | |
1246-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+++--+
1247-
~ Integrity Check Value-ICV (variable) ~
1248-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-++
1231+
0 1 2 3
1232+
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
1233+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+--+
1234+
| | |
1235+
~ Base Header ~ |
1236+
| | |
1237+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
1238+
| Crypt Offset Optional Header | |
1239+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Int
1240+
| | egr
1241+
~ Peer Header (variable) ~ ity
1242+
| | |
1243+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Pro
1244+
| Plaintext Payload Data (variable) | tec
1245+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ted
1246+
| | |
1247+
~ Encrypted Payload Data (variable) ~ |
1248+
| | |
1249+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+--+
1250+
| |
1251+
~ Integrity Check Value-ICV (variable) ~
1252+
| |
1253+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
12491254
#+end_src
12501255

12511256
As an example consider a Tunnel mode SA, with replay protection
12521257
enabled and 8 bytes explicit IV carrying an IPv4 UDP packet with
12531258
crypto offset 8 (8x4 = 32 bytes). [eesp-aad-crypt-offset-example]
12541259

1255-
#+begin_src
12561260
#+caption: EESP Tunnel Mode AAD with Crypt Offset example
12571261
#+name: eesp-aad-crypt-offset-example
1258-
0 1 2 3
1259-
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
1260-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+--+
1261-
|1|Version|Flags| Opt Len (4) | Session ID | |
1262-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
1263-
| SPI | |
1264-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
1265-
| Crypt Offset(2) |Opt Len (4)|POffset (7)|CryptOff(8)| F | R | |
1266-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Int
1267-
| Sequence number 63-32 | egr
1268-
| Sequence number 31-0 | ity
1269-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
1270-
| IV 63-32 | Pro
1271-
| IV 31-0 | tec
1272-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ted
1273-
| Payload Info Header (Next header 4) Plain text) | |
1274-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
1275-
| IPv4 + UDP Headers 28 bytes Plain text | |
1276-
+---------------------------------------------------------------+ |
1277-
| Remaining Encrypted Payload Data | |
1278-
~ ~ |
1279-
| | |
1280-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+--+
1281-
| |
1282-
~ Integrity Check Value-ICV (variable) ~
1283-
| |
1284-
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
1262+
#+begin_src
1263+
0 1 2 3
1264+
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
1265+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+--+
1266+
|1|Version|Flags| Opt Len (4) | Session ID | |
1267+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
1268+
| SPI | |
1269+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
1270+
| Crypt Offset(2) |Opt Len (4)|POffset (7)|CryptOff(8)| F | R | |
1271+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Int
1272+
| Sequence number 63-32 | egr
1273+
| Sequence number 31-0 | ity
1274+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
1275+
| IV 63-32 | Pro
1276+
| IV 31-0 | tec
1277+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ted
1278+
| Payload Info Header (Next header 4) Plain text) | |
1279+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
1280+
| IPv4 + UDP Headers 28 bytes Plain text | |
1281+
+---------------------------------------------------------------+ |
1282+
| | |
1283+
~ Remaining Encrypted Payload Data ~ |
1284+
| | |
1285+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+--+
1286+
| |
1287+
~ Integrity Check Value-ICV (variable) ~
1288+
| |
1289+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
12851290
#+end_src
12861291

12871292
The AAD specifications apply to all EESP cipher suites used with

0 commit comments

Comments
 (0)