IPSec setzt als übergeordnetes Protokoll keine bestimmten Verschlüsselungs-Algorithmen voraus. In der Wahl der angewandten Verfahren sind die Hersteller von IPSec-Produkten daher frei. Üblich sind folgende Standards:
- AES – Advanced Encryption Standard AES ist der offizielle Verschlüsselungsstandard für die Verwendung in US-amerikanischen Regierungsbehörden und damit die wichtigste Verschlüsselungstechnik weltweit. Im Jahr 2000 entschied sich das National Institute of Standards and Technology (NIST) nach einem weltweiten Wettbewerb zwischen zahlreichen Verschlüsselungsalgorithmen für den Rijndael-Algorithmus (gesprochen: "Reindoll") und erklärte ihn 2001 zum AES. Beim Rijndael-Algorithmus handelt es sich um ein symmetrisches Verschlüsselungsverfahren, das mit variablen Block- und Schlüssellängen arbeitet. Es wurde von den beiden belgischen Kryptografen Joan Daemen und Vincent Rijmen entwickelt und zeichnet sich durch hohe Sicherheit, hohe Flexibilität und hervorragende Effizienz aus.
- DES – Data Encryption Standard DES wurde Anfang der 70er Jahre von IBM für die NSA (National Security Agency) entwickelt und war jahrelang weltweiter Verschlüsselungsstandard. Die Schlüssellänge dieses symmetrischen Verfahrens beträgt 56 Bits. Es gilt heute aufgrund der geringen Schlüssellänge als unsicher und wurde vom NIST im Jahr 2000 durch den AES (Rijndael-Algorithmus) ersetzt. Er sollte nicht mehr verwendet werden.
- Triple-DES (auch 3-DES) Ist eine Weiterentwicklung des DES. Der herkömmliche DES-Algorithmus wird dreimal hintereinander angewendet. Dabei werden zwei verschiedene Schlüssel mit jeweils 56 Bits Länge eingesetzt, wobei der Schlüssel des ersten Durchlaufs beim dritten Durchlauf wiederverwendet wird. Es ergibt sich eine nominale Schlüssellänge von 168 Bit bzw. eine effektive Schlüssellänge von 112 Bit. Triple-DES kombiniert die ausgeklügelte Technik des DES mit einem ausreichend langen Schlüssel und gilt daher als sicher. Triple-DES arbeitet allerdings langsamer als andere Verfahren.
- Blowfish Die Entwicklung des prominenten Kryptografen Bruce Schneier verschlüsselt symmetrisch. Blowfish erreicht einen hervorragenden Datendurchsatz und gilt als sehr sicher.
- CAST (nach den Autoren Carlisle Adams und Stafford Tavares) Ist ein symmetrisches Verfahren mit
einer Schlüssellänge von 128 Bits. CAST ermöglicht eine variable Änderung von Teilen des Algorithmus' zur Laufzeit.
Wichtig: Die Verschlüsselung kann über die Kommandozeile angepasst werden. Eingriffe dieser Art sind in der Regel nur dann erforderlich, wenn VPN-Verbindungen zwischen Geräten unterschiedlicher Hersteller aufgebaut werden sollen.
