आईपीसेक

कम्प्यूटिंग में, इंटरनेट प्रोटोकॉल सुरक्षितिटी (आईपीसेक) एक सुरक्षित संजाल प्रोटोकॉल सुइट है जो इंटरनेट प्रोटोकॉल संजाल पर दो संगणको के बीच सुरक्षित एन्क्रिप्टेड संचार प्रदान करने के लिए डेटा का प्रमाणीकरण और कूटलेखन वेष्टक (सूचना प्रौद्योगिकी) है। इसका उपयोग आभासी निजी संजाल (वीपीएन) में किया जाता है।

आईपीसेक में सत्र (कंप्यूटर विज्ञान) के आरंभ में एजेंटों के बीच आपसी प्रमाणीकरण स्थापित करने और सत्र के दौरान उपयोग करने के लिए कुंजी (क्रिप्टोग्राफी) की बातचीत के लिए प्रोटोकॉल सम्मिलित हैं। आईपीसेक सुरक्षा मार्ग (संजाल-से-संजाल) की एक जोड़ी के बीच, या एक सुरक्षा मार्ग और एक मेजबान (संजाल -से-मेजबान) के बीच मेजबानों (मेजबान-से-मेजबान) की एक जोड़ी के बीच डेटा प्रवाह की रक्षा कर सकता है। आईपीसेक इंटरनेट प्रोटोकॉल (आईपी) संजाल पर संचार की सुरक्षा के लिए गूढ़लेखन (क्रिप्टोग्राफ़िक) सुरक्षा सेवाओं का उपयोग करता है। यह संजाल   -स्तरीय सहकर्मी प्रमाणीकरण, डेटा उत्पत्ति प्रमाणीकरण, डेटा अखंडता, डेटा गोपनीयता (कूटलेखन), और पुनरावृत्ति संरक्षण (पुनरावृत्ति आक्षेप से सुरक्षा) का समर्थन करता है।

आरंभिक आईपीवी 4 सुइट को कुछ सुरक्षा प्रावधानों के साथ विकसित किया गया था। आईपीवी 4 संवृद्धि के एक भाग के रूप में, आईपीसेक एक परत 3 ओएसआई प्रतिरूप या इंटरनेट परत    सिरे से अंत तक सुरक्षा योजना है। इसके विपरीत, व्यापक उपयोग में आने वाली कुछ अन्य इंटरनेट सुरक्षा प्रणालियाँ संजाल परत के ऊपर संचालित होती हैं, जैसे परिवहन परत सुरक्षा (टीएलएस) जो परिवहन परत के ऊपर संचालित होती है और सुरक्षित आवरण (एसएसएच) जो अनुप्रयोग परत पर संचालित होती है, आईपीसेक स्वचालित रूप से अनुप्रयोगों को सुरक्षित कर सकता है। इंटरनेट परत पर।

इतिहास
1970 के दशक की प्रारम्भ में, उन्नत अनुसंधान परियोजना संस्था ने प्रायोगिक ARPANET कूटलेखन उपकरणों की एक श्रृंखला को प्रायोजित किया, पहले निवासी ARPANET वेष्टक कूटलेखन के लिए और बाद में TCP/IP वेष्टक कूटलेखन के लिए; इनमें से कुछ प्रमाणित और क्षेत्रबद्ध थे। 1986 से 1991 तक, NSA ने अपने सुरक्षित डेटा संजाल व्यवस्था (SDNS) क्रमानुदेश के तहत इंटरनेट के लिए सुरक्षा प्रोटोकॉल के विकास को प्रायोजित किया। इसने मोटोरोला सहित विभिन्न विक्रेताओं को एक साथ लाया, जिन्होंने 1988 में एक संजाल कूटलेखन उपकरण का उत्पादन किया था। यह कार्य राष्ट्रीय मानक और प्रौद्योगिकी संस्थान द्वारा लगभग 1988 से खुले तौर पर प्रकाशित किया गया था और इनमें से परत 3 (SP3) पर सुरक्षा प्रोटोकॉल अंततः ISO में बदल जाएगा। मानक संजाल परत सुरक्षा प्रोटोकॉल (NLSP)।

1992 से 1995 तक, विभिन्न समूहों ने आईपी-परत कूटलेखन में अनुसंधान किया।
 * 1. 1992 में, यूएस नौसेना अनुसंधान प्रयोगशाला (NRL) ने IP कूटलेखन पर शोध करने और उसे लागू करने के लिए सामान्य इंटरनेट प्रोटोकॉल प्लस (SIPP) परियोजना आरंभ किया।
 * 2. 1993 में, कोलंबिया विश्वविद्यालय और एटी एंड टी बेल लैब्स में, जॉन आयोनिडिस और अन्य ने SunOS SunOS पर प्रक्रिया सामग्री प्रायोगिक प्रक्रिया सामग्री आईपी कूटलेखन प्रोटोकॉल (स्वाइप) पर शोध किया।
 * 3. 1993 में, व्हाइटहाउस इंटरनेट सेवा परियोजना द्वारा प्रायोजित, विश्वसनीय सूचना प्रणाली (टीआईएस) में वेई जू ने प्रक्रिया सामग्री आईपी सुरक्षा प्रोटोकॉल पर और शोध किया और ट्रिपल डेस के लिए यंत्रसामग्री समर्थन विकसित किया, जिसे बर्कले प्रक्रिया सामग्री वितरण 4.1 कर्नेल में कूटबद्ध किया गया था और x86 और SUNOS संरचना दोनों का समर्थन किया था। दिसंबर 1994 तक, TIS ने DARPA-प्रायोजित विवृत-स्रोत गौंटलेट फ़ायरवॉल उत्पाद को T1 गति से अधिक एकीकृत 3DES यंत्रसामग्री कूटलेखन के साथ जारी किया। यह पहली बार राज्यों के पूर्वी और पश्चिमी तट के बीच आईपीसेक VPN संपर्क का उपयोग कर रहा था, जिसे पहले वाणिज्यिक आईपीसेक VPN उत्पाद के रूप में जाना जाता है।
 * 4. एनआरएल के डीएआरपीए-वित्तपोषित अनुसंधान प्रयास के तहत, एनआरएल ने आईपीएसईसी के लिए आईईटीएफ मानक-ट्रैक विशेष विवरण (आरएफसी 1825 से आरएफसी 1827 तक) को विकसित किया, जिसे बीएसडी 4.4 कर्नेल में कूटबद्ध किया गया था और x86 और स्पार्क सीपीयू संरचना दोनों का समर्थन किया था। 1996 के USENIX सम्मेलन की कार्यवाही में उनके पेपर में NRL के आईपीसेक कार्यान्वयन का वर्णन किया गया था। NRL का विवृत-स्रोत आईपीसेक    कार्यान्वयन MIT द्वारा ऑनलाइन उपलब्ध कराया गया था और अधिकांश प्रारंभिक व्यावसायिक कार्यान्वयनों का आधार बन गया।

इंटरनेट इंजीनियरिंग कार्य बल (IETF) ने 1992 में IP सुरक्षा कार्य समूह का गठन किया IP के लिए खुले तौर पर निर्दिष्ट सुरक्षा विस्तारण को मानकीकृत करने के लिए, जिसे आईपीसेक कहा जाता है। 1995 में, कार्यकारी समूह ने पांच कंपनियों (टीआईएस, सिस्को, एफटीपी, चेकप्वाइंट, आदि) के सदस्यों के साथ कुछ कार्यशालाओं का आयोजन किया। आईपीसेक कार्यशालाओं के दौरान, NRL के मानकों और Cisco और TIS के प्रक्रिया सामग्री को सार्वजनिक संदर्भ के रूप में मानकीकृत किया जाता है, RFC-1825 के माध्यम से RFC-1827 के रूप में प्रकाशित किया जाता है।

सुरक्षा संरचना
आईपीसेक  , आईपीवी 4     सूट के एक भाग के रूप में एक खुला मानक है। आईपीसेक     विभिन्न कार्यों को करने के लिए निम्नलिखित प्रोटोकॉल (कंप्यूटिंग) का उपयोग करता है:
 * #Authentication Header|Authentication Headers (AH) IP डेटाग्राम के लिए संपर्क रहित डेटा अखंडता और डेटा मूल प्रमाणीकरण प्रदान करता है और रीप्ले हमलों से सुरक्षा प्रदान करता है।
 * #Encapsulating Security Payload|Encapsulating Security Payloads (ESP) गोपनीयता, संपर्क रहित डेटा अखंडता, डेटा मूल प्रमाणीकरण, एक एंटी-रीप्ले सेवा (आंशिक अनुक्रम अखंडता का एक रूप), और सीमित ट्रैफ़िक-प्रवाह गोपनीयता प्रदान करता है।
 * इंटरनेट सुरक्षा संघ और कुंजी प्रबंधन प्रोटोकॉल (आईएसएकेएमपी) प्रमाणीकरण और कुंजी विनिमय के लिए एक ढांचा प्रदान करता है, वास्तविक प्रमाणित कुंजीयन सामग्री के साथ या तो पूर्व-साझा कुंजियों के साथ मैन्युअल कॉन्फ़िगरेशन द्वारा प्रदान किया जाता है, इंटरनेट कुंजी एक्सचेंज (IKE और IKEv2), कुंजी के कर्बरीकृत इंटरनेट नेगोशिएशन (KINK) ), या DNS रिकॉर्ड प्रकारों की आईपीसेक   KEY सूची। रेफरी नाम = rfc2409 >   इसका उद्देश्य AH और/या ESP संचालन के लिए आवश्यक एल्गोरिदम और पैरामीटर के बंडल के साथ #Security Association|सुरक्षितिटी एसोसिएशन (SA) उत्पन्न करना है।

प्रमाणीकरण हैडर
सुरक्षितिटी ऑथेंटिकेशन हैडर (एएच) को 1990 के दशक की शुरुआत में अमेरिकी नौसेना अनुसंधान प्रयोगशाला में विकसित किया गया था और साधारण संजाल    प्रबंधन प्रोटोकॉल (एसएनएमपी) संस्करण 2 के प्रमाणीकरण के लिए पिछले आईईटीएफ मानकों के काम से लिया गया है। ऑथेंटिकेशन हेडर (एएच) है आईपीसेक     प्रोटोकॉल सूट का एक सदस्य। एएच एल्गोरिदम में हैश फंकशन और एक गुप्त साझा कुंजी का उपयोग करके एएच संपर्क रहित डेटा अखंडता सुनिश्चित करता है। AH भी IP वेष्टक (सूचना प्रौद्योगिकी) को प्रमाणित करके डेटा उत्पत्ति की गारंटी देता है। वैकल्पिक रूप से एक अनुक्रम संख्या आईपीसेक     वेष्टक की सामग्री को रीप्ले हमलों से बचा सकती है,  फिसलने वाली खिडकी तकनीक का उपयोग करना और पुराने वेष्टकों को हटाना।

निम्नलिखित एएच वेष्टक आरेख दिखाता है कि एएच वेष्टक कैसे बनाया और व्याख्या किया जाता है:
 * आईपीवी 4    में, AH ऑप्शन-इंसर्शन अटैक को रोकता है। IPv6 में, AH हेडर इंसर्शन अटैक और ऑप्शन इंसर्शन अटैक दोनों से बचाता है।
 * आईपीवी 4    में, AH, IP पेलोड और आईपी ​​​​डेटाग्राम के सभी हेडर फ़ील्ड्स की सुरक्षा करता है सिवाय परिवर्तनशील फ़ील्ड्स (अर्थात जिन्हें ट्रांज़िट में बदला जा सकता है), और IP विकल्पों जैसे IP सुरक्षा विकल्प (RFC 1108) को भी। परिवर्तनीय (और इसलिए अप्रमाणित) आईपीवी 4     हेडर फ़ील्ड विभेदित सेवा कोड बिंदु/सेवा का प्रकार, स्पष्ट भीड़ अधिसूचना, झंडे, IP विखंडन ऑफ़सेट (कंप्यूटर विज्ञान), रहने का समय और आईपीवी 4     हेडर चेकसम हैं। * IPv6 में, AH अधिकांश IPv6 बेस हेडर, AH स्वयं, AH के बाद नॉन-म्यूटेबल एक्सटेंशन हेडर और IP पेलोड की सुरक्षा करता है। IPv6 हेडर के लिए सुरक्षा में परिवर्तनशील क्षेत्र शामिल नहीं हैं: विभेदित सेवा कोड बिंदु, स्पष्ट भीड़ अधिसूचना, प्रवाह लेबल और हॉप सीमा। एएच आईपी प्रोटोकॉल नंबरों की सूची का उपयोग करके सीधे आईपी के शीर्ष पर काम करता है।
 * नेक्स्ट हैडर (8 बिट) : नेक्स्ट हेडर का प्रकार, यह दर्शाता है कि किस अपर-परत    प्रोटोकॉल को सुरक्षित किया गया था। मान IP प्रोटोकॉल नंबरों की सूची से लिया गया है।
 * पेलोड लेन (8 बिट्स) : 4-ऑक्टेट इकाइयों में इस प्रमाणीकरण हैडर की लंबाई, माइनस 2। उदाहरण के लिए, 4 का एएच मान 3×(32-बिट निश्चित-लम्बाई एएच फ़ील्ड्स) + 3×(32-बिट) के बराबर होता है। ICV फ़ील्ड) - 2 और इस प्रकार 4 के AH मान का अर्थ 24 ऑक्टेट है। हालांकि आकार को 4-ऑक्टेट इकाइयों में मापा जाता है, अगर IPv6 वेष्टक में ले जाया जाता है तो इस हेडर की लंबाई 8 ऑक्टेट की एक बहु होनी चाहिए। यह प्रतिबंध आईपीवी 4    वेष्टक में रखे गए प्रमाणीकरण शीर्षलेख पर लागू नहीं होता है।
 * आरक्षित (16 बिट्स): भविष्य में उपयोग के लिए आरक्षित (तब तक सभी शून्य)।
 * सुरक्षा पैरामीटर्स इंडेक्स (32 बिट्स): मनमाना मूल्य जिसका उपयोग (गंतव्य आईपी पते के साथ) प्राप्त करने वाले पक्ष के सुरक्षा संघ की पहचान करने के लिए किया जाता है।
 * अनुक्रम संख्या (32 बिट्स): एक मोनोटोनिक सख्ती से बढ़ती अनुक्रम संख्या (भेजे गए प्रत्येक वेष्टक के लिए 1 की वृद्धि) फिर से हमलों को रोकने के लिए। जब रीप्ले डिटेक्शन को सक्षम किया जाता है, तो अनुक्रम संख्या का पुन: उपयोग नहीं किया जाता है, क्योंकि अनुक्रम संख्या को उसके अधिकतम मूल्य से आगे बढ़ाने के प्रयास से पहले एक नए सुरक्षा संघ पर फिर से विचार किया जाना चाहिए। ; इंटिग्रिटी चेक वैल्यू (32 बिट्स के मल्टीपल): वेरिएबल लेंथ चेक वैल्यू। इसमें फ़ील्ड को IPv6 के लिए 8-ऑक्टेट सीमा, या आईपीवी 4    के लिए 4-ऑक्टेट सीमा में संरेखित करने के लिए पैडिंग हो सकती है।

सुरक्षा पेलोड को एनकैप्सुलेट करना
आईपी ​​एनकैप्सुलेटिंग सुरक्षा पेलोड (ESP) 1992 में एक DARPA-प्रायोजित अनुसंधान परियोजना के हिस्से के रूप में नौसेना अनुसंधान प्रयोगशाला में विकसित किया गया था, और IETF SIPP द्वारा खुले तौर पर प्रकाशित किया गया था SIPP के लिए सुरक्षा विस्तार के रूप में दिसंबर 1993 में वर्किंग ग्रुप का मसौदा तैयार किया गया। यह #Encapsulating सुरक्षा पेलोड मूल रूप से ISO संजाल   -परत     सुरक्षा प्रोटोकॉल (NLSP) से प्राप्त होने के बजाय, अमेरिकी रक्षा विभाग SP3D प्रोटोकॉल से प्राप्त किया गया था। SP3D प्रोटोकॉल विनिर्देश NIST द्वारा 1980 के दशक के अंत में प्रकाशित किया गया था, लेकिन अमेरिकी रक्षा विभाग के सुरक्षित डेटा संजाल     सिस्टम परियोजना द्वारा डिज़ाइन किया गया था। एनकैप्सुलेटिंग सुरक्षितिटी पेलोड (ESP) आईपीसेक    प्रोटोकॉल सूट का एक सदस्य है। यह मूल सूचना सुरक्षा प्रदान करता है # स्रोत प्रमाणीकरण के माध्यम से प्रामाणिकता, हैश कार्यों के माध्यम से डेटा अखंडता और आईपी वेष्टक (सूचना प्रौद्योगिकी) के लिए कूटलेखन सुरक्षा के माध्यम से गोपनीयता। ESP केवल-कूटलेखन और केवल-प्रमाणीकरण कॉन्फ़िगरेशन का भी समर्थन करता है, लेकिन प्रमाणीकरण के बिना कूटलेखन का उपयोग करने को दृढ़ता से हतोत्साहित किया जाता है क्योंकि यह असुरक्षित है। प्रमाणीकरण शीर्षलेख | ऑथेंटिकेशन हैडर (एएच) के विपरीत, परिवहन मोड में ईएसपी संपूर्ण आईपी ​​​​वेष्टक (बहुविकल्पी)डिसएम्बिगेशन) के लिए अखंडता और प्रमाणीकरण प्रदान नहीं करता है। हालाँकि, टनलिंग प्रोटोकॉल में, जहाँ संपूर्ण मूल IP वेष्टक एक नए वेष्टक हेडर के साथ सूचना छिपा रहा है, ESP सुरक्षा पूरे आंतरिक IP वेष्टक (आंतरिक हेडर सहित) को प्रदान की जाती है, जबकि बाहरी हेडर (किसी भी बाहरी आईपीवी 4    विकल्प या IPv6 सहित) एक्सटेंशन हेडर) असुरक्षित रहता है।

ESP, IP प्रोटोकॉल नंबर 50 का उपयोग करके सीधे IP के शीर्ष पर कार्य करता है।

निम्नलिखित ईएसपी वेष्टक आरेख दिखाता है कि ईएसपी वेष्टक का निर्माण और व्याख्या कैसे की जाती है:
 * सुरक्षा पैरामीटर इंडेक्स (32 बिट्स): प्राप्त करने वाले पक्ष के सुरक्षा संघ की पहचान करने के लिए मनमाने ढंग से मूल्य (गंतव्य आईपी पते के साथ) का उपयोग किया जाता है।
 * अनुक्रम संख्या (32 बिट्स): पुनरावृत्ति हमलों से बचाने के लिए एक मोनोटोनिक रूप से बढ़ती क्रम संख्या (भेजे गए प्रत्येक वेष्टक के लिए 1 की वृद्धि)। हर सुरक्षा संघ के लिए अलग काउंटर रखा गया है।
 * पेलोड डेटा (परिवर्तनीय): मूल आईपी वेष्टक की संरक्षित सामग्री, सामग्री की सुरक्षा के लिए उपयोग किए जाने वाले किसी भी डेटा सहित (उदाहरण के लिए क्रिप्टोग्राफ़िक एल्गोरिदम के लिए प्रारंभिक वेक्टर)। जिस प्रकार की सामग्री को सुरक्षित किया गया था, उसे अगले हेडर फ़ील्ड द्वारा इंगित किया गया है।
 * पैडिंग (0-255 ऑक्टेट): कूटलेखन के लिए पैडिंग, पेलोड डेटा को उस आकार तक विस्तारित करने के लिए जो कूटलेखन के ब्लॉक सिफर ब्लॉक आकार (क्रिप्टोग्राफी) में फिट बैठता है, और अगले फ़ील्ड को संरेखित करने के लिए।
 * पैड की लंबाई (8 बिट) : पैडिंग का आकार (अष्टक में)।
 * नेक्स्ट हैडर (8 बिट) : अगले हैडर का प्रकार। मान IP प्रोटोकॉल नंबरों की सूची से लिया गया है।
 * इंटिग्रिटी चेक वैल्यू (32 बिट्स के मल्टीपल): वेरिएबल लेंथ चेक वैल्यू। इसमें फ़ील्ड को IPv6 के लिए 8-ऑक्टेट सीमा, या आईपीवी 4    के लिए 4-ऑक्टेट सीमा में संरेखित करने के लिए पैडिंग हो सकती है।

सुरक्षा संघ
आईपीसेक    प्रोटोकॉल एक सुरक्षा संघ का उपयोग करते हैं, जहाँ संचार करने वाले पक्ष एल्गोरिदम और कुंजियों जैसी साझा सुरक्षा विशेषताएँ स्थापित करते हैं। इस प्रकार, आईपीसेक     विकल्पों की एक श्रृंखला प्रदान करता है जब यह निर्धारित किया जाता है कि AH या ESP का उपयोग किया जाता है या नहीं। डेटा का आदान-प्रदान करने से पहले, दो होस्ट इस बात पर सहमत होते हैं कि IP वेष्टक को एन्क्रिप्ट करने के लिए सममित-कुंजी एल्गोरिथ्म का उपयोग किया जाता है, उदाहरण के लिए उन्नत कूटलेखन मानक या ChaCha20, और किस हैश फ़ंक्शन का उपयोग डेटा की अखंडता को सुनिश्चित करने के लिए किया जाता है, जैसे BLAKE2 या SHA- 2. ये पैरामीटर विशेष सत्र के लिए सहमत हैं, जिसके लिए आजीवन सहमत होना चाहिए और एक सत्र कुंजी। डेटा ट्रांसफर होने से पहले प्रमाणीकरण के लिए एल्गोरिथ्म भी सहमत है और आईपीसेक    कई तरीकों का समर्थन करता है। पूर्व-साझा कुंजी के माध्यम से प्रमाणीकरण संभव है, जहां एक सममित कुंजी पहले से ही दोनों मेजबानों के कब्जे में है, और मेजबान साझा कुंजी के एक दूसरे को हैश भेजते हैं ताकि यह साबित हो सके कि वे एक ही कुंजी के कब्जे में हैं। आईपीसेक     सार्वजनिक कुंजी कूटलेखन का भी समर्थन करता है, जहाँ प्रत्येक होस्ट के पास एक सार्वजनिक और एक निजी कुंजी होती है, वे अपनी सार्वजनिक कुंजियों का आदान-प्रदान करते हैं और प्रत्येक होस्ट दूसरे होस्ट की सार्वजनिक कुंजी के साथ एन्क्रिप्टेड एक क्रिप्टोग्राफ़िक अस्थायी भेजता है। वैकल्पिक रूप से यदि दोनों होस्ट के पास प्रमाणपत्र प्राधिकारी से सार्वजनिक कुंजी प्रमाणपत्र है, तो इसका उपयोग आईपीसेक     प्रमाणीकरण के लिए किया जा सकता है। आईपीसेक    के सुरक्षा संघ इंटरनेट सुरक्षा संघ और कुंजी प्रबंधन प्रोटोकॉल (ISAKMP) का उपयोग करके स्थापित किए गए हैं। ISAKMP को पूर्व-साझा रहस्यों, इंटरनेट कुंजी एक्सचेंज (IKE और IKEv2), Kerberized Internet Negotiation of Keys (KINK) और DNS रिकॉर्ड प्रकारों की आईपीसेक    KEY सूची के उपयोग के साथ मैन्युअल कॉन्फ़िगरेशन द्वारा कार्यान्वित किया जाता है।  RFC 5386 बेटर-दैन-नथिंग सुरक्षितिटी (BTNS) को विस्तारित IKE प्रोटोकॉल का उपयोग करके आईपीसेक     के एक अप्रमाणित मोड के रूप में परिभाषित करता है। सी. मीडोज, सी. क्रेमर्स, और अन्य ने IKEv1 और IKEv2 में मौजूद विभिन्न विसंगतियों की पहचान करने के लिए औपचारिक तरीकों का उपयोग किया है। एक आउटगोइंग वेष्टक के लिए कौन सी सुरक्षा प्रदान की जानी है, यह तय करने के लिए, आईपीसेक    सुरक्षा पैरामीटर सूचकांक (SPI) का उपयोग करता है, जो सुरक्षा एसोसिएशन डेटाबेस (SADB) के लिए एक इंडेक्स है, साथ ही एक वेष्टक हेडर में गंतव्य का पता होता है, जो एक साथ विशिष्ट पहचान करता है। उस वेष्टक के लिए एक सुरक्षा संघ। आने वाले वेष्टक के लिए एक समान प्रक्रिया की जाती है, जहां आईपीसेक     सुरक्षा संघ डेटाबेस से डिक्रिप्शन और सत्यापन कुंजी एकत्र करता है।

आईपी ​​​​मल्टीकास्ट के लिए समूह के लिए एक सुरक्षा संघ प्रदान किया जाता है, और समूह के सभी अधिकृत रिसीवरों में डुप्लिकेट किया जाता है। विभिन्न एसपीआई का उपयोग करते हुए एक समूह के लिए एक से अधिक सुरक्षा संघ हो सकते हैं, जिससे एक समूह के भीतर कई स्तरों और सुरक्षा के सेट की अनुमति मिलती है। वास्तव में, प्रत्येक प्रेषक के पास कई सुरक्षा संघ हो सकते हैं, प्रमाणीकरण की अनुमति देते हैं, क्योंकि एक रिसीवर केवल यह जान सकता है कि कुंजी जानने वाले ने डेटा भेजा है। ध्यान दें कि प्रासंगिक मानक यह वर्णन नहीं करता है कि कैसे संघ को चुना जाता है और पूरे समूह में डुप्लिकेट किया जाता है; यह माना जाता है कि एक जिम्मेदार पार्टी ने चुनाव किया होगा।

ऑपरेशन के मोड
आईपीसेक    प्रोटोकॉल AH और ESP को होस्ट-टू-होस्ट ट्रांसपोर्ट मोड के साथ-साथ संजाल     टनलिंग मोड में भी लागू किया जा सकता है।

परिवहन मोड
परिवहन मोड में, केवल आईपी वेष्टक का पेलोड आमतौर पर कूट रूप दिया गया या प्रमाणित होता है। रूटिंग बरकरार है, क्योंकि आईपी हेडर न तो संशोधित है और न ही एन्क्रिप्ट किया गया है; हालाँकि, जब प्रमाणीकरण हैडर का उपयोग किया जाता है, तो IP पते को नेवोर्क पता अनुवादन द्वारा संशोधित नहीं किया जा सकता है, क्योंकि यह हमेशा हैश मान को अमान्य करता है। ट्रांसपोर्ट परत    और एप्लिकेशन परत     हमेशा एक हैश द्वारा सुरक्षित होते हैं, इसलिए उन्हें किसी भी तरह से संशोधित नहीं किया जा सकता है, उदाहरण के लिए बंदरगाह पता अनुवाद द्वारा टीसीपी और यूडीपी पोर्ट नंबर।

एनएटी ट्रैवर्सल के लिए आईपीसेक    संदेशों को एनकैप्सुलेट करने का एक साधन NAT-T तंत्र का वर्णन करने वाले टिप्पणियों के लिए अनुरोध दस्तावेज़ द्वारा परिभाषित किया गया है।

सुरंग मोड
टनल मोड में, पूरे आईपी वेष्टक को एन्क्रिप्ट और प्रमाणित किया जाता है। इसके बाद इसे एक नए IP हेडर के साथ एक नए IP वेष्टक में एनकैप्सुलेट किया जाता है। टनल मोड का उपयोग संजाल   -टू-संजाल     संचार (जैसे राउटर से लिंक साइटों के बीच), होस्ट-टू-संजाल     संचार (जैसे दूरस्थ उपयोगकर्ता पहुंच) और होस्ट-टू-होस्ट संचार (जैसे निजी चैट) के लिए वर्चुअल प्राइवेट संजाल     बनाने के लिए किया जाता है। टनल मोड NAT ट्रैवर्सल को सपोर्ट करता है।

सममित कूटलेखन एल्गोरिदम
आईपीसेक    के साथ उपयोग के लिए परिभाषित क्रिप्टोग्राफ़िक एल्गोरिदम में शामिल हैं:
 * HMAC-SHA1/SHA2 अखंडता संरक्षण और प्रामाणिकता के लिए।
 * गोपनीयता के लिए ट्रिपलडेस-सिफर ब्लॉक चेनिंग
 * गोपनीयता के लिए एईएस-सिफर ब्लॉक चेनिंग और एईएस सीटीआर।
 * उन्नत कूटलेखन स्टैंडर्ड-गैलोइस/काउंटर मोड और ChaCha20-Poly1305 एक साथ कुशलतापूर्वक गोपनीयता और प्रमाणीकरण प्रदान करते हैं।

विवरण के लिए आरएफसी 8221 का संदर्भ लें।

कुंजी विनिमय एल्गोरिदम

 * डिफी-हेलमैन की एक्सचेंज|डिफी-हेलमैन (आरएफसी 3526)
 * अण्डाकार-वक्र डिफी-हेलमैन (RFC 4753)

प्रमाणीकरण एल्गोरिदम

 * आरएसए (क्रिप्टोसिस्टम)
 * ईसीडीएसए (आरएफसी 4754)
 * पूर्व-साझा कुंजी (RFC 6617)

कार्यान्वयन
आईपीसेक    को ऑपरेटिंग सिस्टम के IP स्टैक में लागू किया जा सकता है। कार्यान्वयन का यह तरीका मेजबानों और सुरक्षा द्वारों के लिए किया जाता है। एचपी या आईबीएम जैसी कंपनियों से विभिन्न आईपीसेक सक्षम आईपी ढेर उपलब्ध हैं। एक विकल्प तथाकथित ढेर में टक्कर (बीआईटीएस) कार्यान्वयन है, जहां ऑपरेटिंग सिस्टम स्रोत कोड को संशोधित करने की आवश्यकता नहीं होती है। यहाँ आईपीसेक     IP स्टैक और संजाल     उपकरण ड्राइवर के बीच स्थापित है। इस प्रकार आईपीसेक     के साथ ऑपरेटिंग सिस्टम को रेट्रोफिट किया जा सकता है। कार्यान्वयन की इस पद्धति का उपयोग होस्ट और मार्ग     दोनों के लिए भी किया जाता है। हालाँकि, आईपीसेक     को रेट्रोफिट करते समय IP वेष्टकों का एनकैप्सुलेशन स्वचालित पथ एमटीयू खोज के लिए समस्याएँ पैदा कर सकता है, जहाँ दो IP होस्ट के बीच संजाल     पथ पर अधिकतम संचरण इकाई (MTU) आकार स्थापित होता है। यदि किसी होस्ट या मार्ग     के पास एक अलग kriptoprocessor है, जो सेना में आम है और वाणिज्यिक प्रणालियों में भी पाया जा सकता है, तो आईपीसेक     का एक तथाकथित टक्कर में तार (BITW) कार्यान्वयन संभव है। जब आईपीसेक    को कर्नेल (ऑपरेटिंग सिस्टम) में लागू किया जाता है, तो कुंजी प्रबंधन और ISAKMP/इंटरनेट कुंजी विनिमय बातचीत उपयोगकर्ता स्थान से की जाती है। एनआरएल-विकसित और खुले तौर पर निर्दिष्ट PF_KEY कुंजी प्रबंधन एपीआई, संस्करण 2 का उपयोग अक्सर कर्नेल-स्पेस आईपीसेक     कार्यान्वयन के भीतर संग्रहीत आईपीसेक     सुरक्षा संघों को अद्यतन करने के लिए एप्लिकेशन-स्पेस कुंजी प्रबंधन एप्लिकेशन को सक्षम करने के लिए किया जाता है। मौजूदा आईपीसेक     कार्यान्वयन में आमतौर पर ESP, AH, और IKE संस्करण 2 शामिल होते हैं। यूनिक्स जैसे ऑपरेटिंग सिस्टम पर मौजूदा आईपीसेक     कार्यान्वयन, उदाहरण के लिए, Oracle Solaris या Linux, में आमतौर पर PF_KEY संस्करण 2 शामिल होता है।

अंतः स्थापित प्रणाली आईपीसेक    का उपयोग एक छोटे से ओवरहेड के साथ विवश संसाधन प्रणालियों पर चल रहे अनुप्रयोगों के बीच सुरक्षित संचार सुनिश्चित करने के लिए किया जा सकता है।

मानक स्थिति
आईपीसेक    को IPv6 के संयोजन में विकसित किया गया था और मूल रूप से RFC 6434 द्वारा इसे केवल एक सिफारिश करने से पहले IPv6 के सभी मानकों-अनुपालन कार्यान्वयन द्वारा समर्थित होने की आवश्यकता थी। आईपीवी 4     कार्यान्वयन के लिए आईपीसेक     भी वैकल्पिक है। आईपीसेक     का उपयोग आमतौर पर आईपीवी 4     ट्रैफ़िक को सुरक्षित करने के लिए किया जाता है। आईपीसेक    प्रोटोकॉल मूल रूप से RFC 1825 में RFC 1829 के माध्यम से परिभाषित किए गए थे, जो 1995 में प्रकाशित हुए थे। 1998 में, इन दस्तावेजों को RFC 2401 और RFC 2412 द्वारा कुछ असंगत इंजीनियरिंग विवरणों के साथ अधिक्रमित किया गया था, हालांकि वे वैचारिक रूप से समान थे। इसके अलावा, सुरक्षा संघों को बनाने और प्रबंधित करने के लिए एक पारस्परिक प्रमाणीकरण और कुंजी विनिमय प्रोटोकॉल इंटरनेट की एक्सचेंज (IKE) को परिभाषित किया गया था। दिसंबर 2005 में, RFC 4301 और RFC 4309 में नए मानकों को परिभाषित किया गया था, जो इंटरनेट की एक्सचेंज मानक IKEv2 के दूसरे संस्करण के साथ पिछले संस्करणों का एक सुपरसेट है। इन तीसरी पीढ़ी के दस्तावेज़ों ने आईपीसेक     के संक्षिप्त नाम को अपरकेस "IP" और लोअरकेस "सेकंड" में मानकीकृत किया। "ईएसपी" आम तौर पर आरएफसी 4303 को संदर्भित करता है, जो विनिर्देश का नवीनतम संस्करण है।

2008 के मध्य से, एक आईपीसेक    अनुरक्षण और विस्तार (आईपीसेक    me) कार्यकारी समूह IETF में सक्रिय है।

कथित एनएसए हस्तक्षेप
2013 में, 2013 के बड़े पैमाने पर निगरानी के खुलासे के हिस्से के रूप में, यह पता चला था कि अमेरिकी राष्ट्रीय सुरक्षा एजेंसी सक्रिय रूप से व्यावसायिक कूटलेखन सिस्टम, आईटी सिस्टम, संजाल    और एंडपॉइंट संचार उपकरणों में कमजोरियों को शामिल करने के लिए काम कर रही थी, जो कि बुलरुन (कोड नाम) नाम) कार्यक्रम। ऐसे आरोप हैं कि आईपीसेक     एक लक्षित कूटलेखन प्रणाली थी। यह स्नोडेन लीक से पहले प्रकाशित हुआ था।

लॉगजैम (कंप्यूटर सुरक्षा) के लेखकों द्वारा प्रस्तुत एक वैकल्पिक स्पष्टीकरण से पता चलता है कि एनएसए ने आईपीसीईसी वीपीएन से समझौता किया है, जो कि मुख्य एक्सचेंज में उपयोग किए जाने वाले Diffie-Hellman एल्गोरिथम को कमजोर कर रहा है। उनके पेपर में, रेफ नाम = कमजोर > उनका आरोप है कि NSA ने विशेष रूप से RFC 2409 में परिभाषित दूसरे ओकले समूह के लिए विशिष्ट प्राइम्स और जेनरेटर के लिए गुणक उपसमूहों की पूर्व-गणना करने के लिए एक कंप्यूटिंग क्लस्टर बनाया। मई 2015 तक, 90% एड्रेसेबल आईपीसेक    VPN ने दूसरे ओकले का समर्थन किया। आईकेई के हिस्से के रूप में समूह। यदि कोई संगठन इस समूह की पूर्व-गणना करता है, तो वे बिना किसी प्रक्रिया सामग्री को सम्मिलित किए बिना एक्सचेंज की जा रही कुंजियों को प्राप्त कर सकते हैं और ट्रैफ़िक को डिक्रिप्ट कर सकते हैं।

एक दूसरा वैकल्पिक स्पष्टीकरण जो सामने रखा गया था वह यह था कि समीकरण समूह ने कई निर्माताओं के वीपीएन उपकरणों के खिलाफ जीरो-डे (कंप्यूटिंग) | जीरो-डे एक्सप्लॉइट्स का उपयोग किया था, जिसे कास्परस्की लैब द्वारा इक्वेशन ग्रुप से बंधे होने के रूप में मान्य किया गया था। रेफरी> और उन निर्माताओं द्वारा वास्तविक शोषण के रूप में मान्य किया गया, जिनमें से कुछ उनके प्रदर्शन के समय शून्य-दिन के शोषण थे। रेफरी> सिस्को PIX#सुरक्षा भेद्यता फायरवॉल में भेद्यताएं थीं जिनका उपयोग NSA द्वारा वायरटैपिंग के लिए किया गया था.

इसके अलावा, आक्रामक मोड सेटिंग का उपयोग करने वाले आईपीसेक    VPN स्पष्ट रूप से PSK का हैश भेजते हैं। यह ऑफ़लाइन शब्दकोश हमलों का उपयोग करके एनएसए द्वारा स्पष्ट रूप से लक्षित किया जा सकता है और लक्षित किया जा सकता है।

मानक ट्रैक

 * : ईएसपी डेस-सीबीसी रूपांतरण
 * : ESP और AH के भीतर HMAC-MD5-96 का उपयोग
 * : ESP और AH के भीतर HMAC-SHA-1-96 का उपयोग
 * : स्पष्ट IV के साथ ESP DES-CBC सिफर एल्गोरिथम
 * : पूर्ण कूटलेखन एल्गोरिथम और आईपीसेक    के साथ इसका उपयोग
 * : ईएसपी सीबीसी-मोड सिफर एल्गोरिदम
 * : ESP और AH के भीतर HMAC-RIPEMD-160-96 का उपयोग
 * : अधिक मॉड्यूलर एक्सपोनेंशियल (MODP) डिफी-हेलमैन कुंजी एक्सचेंज | इंटरनेट कुंजी एक्सचेंज (IKE) के लिए डिफी-हेलमैन समूह
 * : एईएस सीबीसी सिफर एल्गोरिदम और आईपीसेक के साथ इसका उपयोग
 * : आईपीसेक    एनकैप्सुलेटिंग सुरक्षा पेलोड (ESP) के साथ उन्नत कूटलेखन मानक (AES) काउंटर मोड का उपयोग करना
 * : आईकेई में एनएटी-ट्रैवर्सल की बातचीत
 * : आईपीसेक    ESP वेष्टक का UDP एनकैप्सुलेशन
 * : आईपीसेक    एनकैप्सुलेटिंग सुरक्षा पेलोड (ESP) में Galois/Counter Mode (GCM) का उपयोग
 * : इंटरनेट प्रोटोकॉल के लिए सुरक्षा संरचना
 * : आईपी प्रमाणीकरण हैडर
 * : आईपी एनकैप्सुलेटिंग सुरक्षा पेलोड
 * : इंटरनेट सुरक्षा एसोसिएशन और कुंजी प्रबंधन प्रोटोकॉल (ISAKMP) के लिए आईपीसेक    डोमेन ऑफ़ इंटरप्रिटेशन (DOI) के लिए विस्तारित अनुक्रम संख्या (ESN) परिशिष्ट
 * : इंटरनेट कुंजी एक्सचेंज संस्करण 2 (IKEv2) में उपयोग के लिए क्रिप्टोग्राफ़िक एल्गोरिदम
 * : आईपीसेक    के लिए क्रिप्टोग्राफ़िक सूट
 * : आईपीसेक    एनकैप्सुलेटिंग सुरक्षा पेलोड (ESP) के साथ उन्नत कूटलेखन मानक (AES) CCM मोड का उपयोग करना
 * : आईपीसेक    ESP और AH में Galois संदेश प्रमाणीकरण कोड (GMAC) का उपयोग
 * : IKEv2 मोबिलिटी और मल्टीहोमिंग प्रोटोकॉल (MOBIKE)
 * : IKEv2 के लिए ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) एक्सटेंशन
 * : आईपीसेक    के साथ HMAC-SHA-256, HMAC-SHA-384 और HMAC-SHA-512 का उपयोग करना
 * : IKEv1/ISAKMP, IKEv2, और PKIX की इंटरनेट IP सुरक्षा PKI प्रोफ़ाइल
 * : इंटरनेट X.509 पब्लिक की इन्फ्रास्ट्रक्चर सर्टिफिकेट और सर्टिफिकेट रिवोकेशन लिस्ट (CRL) प्रोफाइल
 * : इंटरनेट कुंजी एक्सचेंज संस्करण 2 (IKEv2) प्रोटोकॉल के एन्क्रिप्टेड पेलोड के साथ प्रमाणित कूटलेखन एल्गोरिदम का उपयोग करना
 * : बेटर-देन-नथिंग सुरक्षितिटी: आईपीसेक का एक अप्रामाणित मोड
 * : आईपीसेक    के साथ उपयोग के लिए कमीलया (सिफर) के संचालन के तरीके
 * : इंटरनेट कुंजी एक्सचेंज प्रोटोकॉल संस्करण 2 (IKEv2) के लिए पुनर्निर्देशन तंत्र
 * : इंटरनेट की एक्सचेंज प्रोटोकॉल संस्करण 2 (IKEv2) सत्र की बहाली
 * : IKEv2 एक्सटेंशन आईपीसेक    पर मजबूत हैडर संपीड़न का समर्थन करने के लिए
 * : आईपीसेक    एक्सटेंशन आईपीसेक     पर मजबूत हैडर संपीड़न का समर्थन करने के लिए
 * : इंटरनेट की एक्सचेंज प्रोटोकॉल संस्करण 2 (IKEv2)
 * : सुरक्षा पेलोड (ESP) और प्रमाणीकरण शीर्षलेख (AH) को एनकैप्सुलेट करने के लिए क्रिप्टोग्राफ़िक एल्गोरिथम कार्यान्वयन आवश्यकताएँ और उपयोग मार्गदर्शन
 * : इंटरनेट कुंजी एक्सचेंज प्रोटोकॉल संस्करण 2 (IKEv2) संदेश विखंडन
 * : इंटरनेट कुंजी एक्सचेंज संस्करण 2 (IKEv2) में हस्ताक्षर प्रमाणीकरण
 * : ChaCha20, Poly1305, और इंटरनेट की एक्सचेंज प्रोटोकॉल (IKE) और आईपीसेक    में उनका उपयोग

प्रायोगिक RFCs

 * : इंटरनेट की एक्सचेंज (IKEv2) प्रोटोकॉल में बार-बार प्रमाणीकरण

सूचनात्मक आरएफसी

 * : PF_KEY इंटरफ़ेस
 * : ओकली कुंजी निर्धारण प्रोटोकॉल
 * : डेड इंटरनेट की एक्सचेंज (IKE) पीयर का पता लगाने की एक ट्रैफिक-आधारित विधि
 * : आईपीसेक   -संजाल     एड्रेस ट्रांसलेशन (NAT) संगतता आवश्यकताएँ
 * : IKEv2 मोबिलिटी और मल्टीहोमिंग (MOBIKE) प्रोटोकॉल का डिज़ाइन
 * : आईपीसेक    प्रमाणपत्र प्रबंधन प्रोफ़ाइल के लिए आवश्यकताएँ
 * : कुछ नहीं से बेहतर सुरक्षा के लिए समस्या और प्रयोज्यता कथन (BTNS)
 * : आईपीसेक    सुरक्षा संघों पर मजबूत हैडर संपीड़न का एकीकरण
 * : इंटरनेट कुंजी एक्सचेंज संस्करण 02 (IKEv2) प्रोटोकॉल के साथ उन्नत कूटलेखन मानक काउंटर मोड (AES-CTR) का उपयोग करना
 * : आईपीसेक    क्लस्टर समस्या कथन
 * : आईपीसेक    और IKE दस्तावेज़ रोडमैप
 * : आईपीसेक    के लिए सुइट B क्रिप्टोग्राफ़िक सूट
 * : सुइट बी प्रोफाइल फॉर इंटरनेट प्रोटोकॉल सुरक्षितिटी (आईपीसीईसी)
 * : इंटरनेट की एक्सचेंज संस्करण 2 (IKEv2) के लिए सुरक्षित पासवर्ड फ्रेमवर्क

सर्वश्रेष्ठ वर्तमान अभ्यास RFCs

 * : आईपीसेक    संस्करण 2 के उपयोग को निर्दिष्ट करने के लिए दिशानिर्देश

अप्रचलित/ऐतिहासिक आरएफसी

 * : इंटरनेट प्रोटोकॉल के लिए सुरक्षा संरचना (RFC 2401 द्वारा अप्रचलित)
 * : आईपी प्रमाणीकरण शीर्षलेख (आरएफसी 2402 द्वारा अप्रचलित)
 * : IP एनकैप्सुलेटिंग सुरक्षितिटी पेलोड (ESP) (RFC 2406 द्वारा अप्रचलित)
 * : कुंजीयुक्त MD5 (ऐतिहासिक) का उपयोग करके IP प्रमाणीकरण
 * : इंटरनेट प्रोटोकॉल के लिए सुरक्षा संरचना (आईपीसेक    ओवरव्यू) (RFC 4301 द्वारा अप्रचलित)
 * : IP एनकैप्सुलेटिंग सुरक्षितिटी पेलोड (ESP) (RFC 4303 और RFC 4305 द्वारा अप्रचलित)
 * : ISAKMP के लिए व्याख्या का इंटरनेट IP सुरक्षा डोमेन (RFC 4306 द्वारा अप्रचलित)
 * : इंटरनेट की एक्सचेंज (RFC 4306 द्वारा अप्रचलित)
 * : सुरक्षा पेलोड (ESP) और प्रमाणीकरण शीर्षलेख (AH) को एनकैप्सुलेट करने के लिए क्रिप्टोग्राफ़िक एल्गोरिथम कार्यान्वयन आवश्यकताएँ (RFC 4835 द्वारा अप्रचलित)
 * : इंटरनेट की एक्सचेंज (IKEv2) प्रोटोकॉल (RFC 5996 द्वारा अप्रचलित)
 * : IKEv2 स्पष्टीकरण और कार्यान्वयन दिशानिर्देश (RFC 7296 द्वारा अप्रचलित)
 * : सुरक्षा पेलोड (ESP) और प्रमाणीकरण शीर्षलेख (AH) को एनकैप्सुलेट करने के लिए क्रिप्टोग्राफ़िक एल्गोरिथम कार्यान्वयन आवश्यकताएँ (RFC 7321 द्वारा अप्रचलित)
 * : इंटरनेट की एक्सचेंज प्रोटोकॉल वर्जन 2 (IKEv2) (RFC 7296 द्वारा अप्रचलित)

यह भी देखें

 * डायनामिक मल्टीपॉइंट वर्चुअल प्राइवेट संजाल
 * सूचना सुरक्षा
 * एनएटी ट्रैवर्सल
 * अवसरवादी कूटलेखन
 * टीसीपीक्रिप्ट

इस पेज में लापता आंतरिक लिंक की सूची

 * पारस्परिक प्रमाणीकरण
 * फिर से खेलना हमला
 * डेटा मूल प्रमाणीकरण
 * ओ एस आई प्रतिरूप
 * ARPANET कूटलेखन उपकरण
 * मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
 * कोलम्बिया विश्वविद्यालय
 * यूसेनिक्स सम्मेलन
 * DNS रिकॉर्ड प्रकारों की सूची
 * गुप्त कुंजी
 * केर्बरीकृत इंटरनेट चाबियों की बातचीत
 * जीने के लिए समय
 * आईपी ​​​​विखंडन
 * ऑफसेट (कंप्यूटर विज्ञान)
 * आईपी ​​​​प्रोटोकॉल नंबरों की सूची
 * जानकारी छुपाना
 * एसएचए-2
 * उच्च कूटलेखन मानक
 * प्रमाणपत्र, प्राधिकारी
 * औपचारिक तरीके
 * यूनिक्स जैसा ऑपरेटिंग सिस्टम
 * 2013 जन निगरानी खुलासे
 * लोगजाम (कंप्यूटर सुरक्षा)
 * शून्य-दिन (कंप्यूटिंग)
 * शब्दकोश हमला
 * सीसीएम मोड
 * सुइट बी
 * tcpcrypt

बाहरी संबंध

 * All IETF active security WGs
 * IETF आईपीसेक   me WG ("IP Security Maintenance and Extensions" Working Group)
 * IETF btns WG ("Better-Than-Nothing Security" Working Group) (chartered to work on unauthenticated आईपीसेक  , आईपीसेक     APIs, connection latching)]
 * Securing Data in Transit with आईपीसेक    WindowsSecurity.com article by Deb Shinder
 * आईपीसेक    on Microsoft TechNet
 * Microsoft आईपीसेक    Diagnostic Tool on Microsoft Download Center
 * An Illustrated Guide to आईपीसेक    by Steve Friedl
 * Security Architecture for IP (आईपीसेक   ) Data Communication Lectures by Manfred Lindner Part आईपीसेक
 * Creating VPNs with आईपीसेक    and SSL/TLS Linux Journal article by Rami Rosen
 * Creating VPNs with आईपीसेक    and SSL/TLS Linux Journal article by Rami Rosen