Bildung der Prüfsumme für den Integritäts-Check

Um die Integrität, also die Korrektheit der transferierten Pakete zu gewährleisten, versieht AH beim Versand jedes Paket mit einer Prüfsumme. Beim Empfänger prüft AH, ob die Prüfsumme zum Inhalt des Paketes passt. Ist das nicht der Fall, dann wurde es entweder falsch übertragen oder bewusst verändert. Solche Pakete werden sofort verworfen und gelangen nicht mehr auf höhere Protokollebenen.

Zur Errechnung der Prüfsumme stehen verschiedene sogenannte Hash-Algorithmen zur Verfügung. Hash-Algorithmen zeichnen sich dadurch aus, dass das Ergebnis (der Hash-Code) charakteristisch für die Eingangsdaten ist („Fingerabdruck“), ohne dass umgekehrt vom Hash-Code auf die Eingangsdaten geschlossen werden könnte. Außerdem haben bei einem hochwertigen Hash-Algorithmus kleinste Änderungen des Eingangswertes einen völlig unterschiedlichen Hash-Code zur Folge. So werden systematische Analysen mehrerer Hash-Codes erschwert.

Die beiden gängigsten Hash-Algorithmen sind MD5 und SHA-1. Beide Methoden arbeiten ohne Schlüssel, d.h. alleine auf der Basis fester Algorithmen. Schlüssel kommen erst in einem späteren Schritt von AH ins Spiel: bei der endgültigen Berechnung der Authentification Data. Die Integritäts-Prüfsumme ist nur ein notwendiges Zwischenergebnis auf dem Weg dorthin. Das VPN-Modul im LCOS unterstützt MD5 und SHA-1.