आईपीसेक

कम्प्यूटिंग में, इंटरनेट प्रोटोकॉल सुरक्षितिटी (आईपीसेक) एक सुरक्षित संजाल प्रोटोकॉल सुइट है जो इंटरनेट प्रोटोकॉल संजाल पर दो संगणको के बीच सुरक्षित एन्क्रिप्टेड संचार प्रदान करने के लिए डेटा का प्रमाणीकरण और कूटलेखन वेष्टक (सूचना प्रौद्योगिकी) है। इसका उपयोग आभासी निजी संजाल (वीपीएन) में किया जाता है।

आईपीसेक में सत्र (कंप्यूटर विज्ञान) के आरंभ में एजेंटों के बीच आपसी प्रमाणीकरण स्थापित करने और सत्र के दौरान उपयोग करने के लिए कुंजी (क्रिप्टोग्राफी) की बातचीत के लिए प्रोटोकॉल सम्मिलित हैं। आईपीसेक सुरक्षा मार्ग (संजाल-से-संजाल) की एक जोड़ी के बीच, या एक सुरक्षा मार्ग और एक सूत्रधार (संजाल -से-सूत्रधार) के बीच सूत्रधारों (सूत्रधार-से-सूत्रधार) की एक जोड़ी के बीच डेटा प्रवाह की रक्षा कर सकता है। आईपीसेक इंटरनेट प्रोटोकॉल (आईपी) संजाल पर संचार की सुरक्षा के लिए विन्यास (गुप्‍तलेखीय) सुरक्षा सेवाओं का उपयोग करता है। यह संजाल    -स्तरीय सहकर्मी प्रमाणीकरण, डेटा उत्पत्ति प्रमाणीकरण, डेटा अखंडता, डेटा गोपनीयता (कूटलेखन), और पुनरावृत्ति संरक्षण (पुनरावृत्ति आक्षेप से सुरक्षा) का समर्थन करता है।

आरंभिक आईपीवी 4 सुइट को कुछ सुरक्षा प्रावधानों के साथ विकसित किया गया था। आईपीवी 4 संवृद्धि के एक भाग के रूप में, आईपीसेक एक परत 3 ओएसआई प्रतिरूप या इंटरनेट परत    सिरे से अंत तक सुरक्षा योजना है। इसके विपरीत, व्यापक उपयोग में आने वाली कुछ अन्य इंटरनेट सुरक्षा प्रणालियाँ संजाल परत के ऊपर संचालित होती हैं, जैसे ट्रांसपोर्ट परत सुरक्षा (टीएलएस) जो ट्रांसपोर्ट परत के ऊपर संचालित होती है और सुरक्षित आवरण (एसएसएच) जो अनुप्रयोग परत पर संचालित होती है, आईपीसेक स्वचालित रूप से अनुप्रयोगों को सुरक्षित कर सकता है। इंटरनेट परत पर।

इतिहास
1970 के दशक की प्रारम्भ में, उन्नत अनुसंधान परियोजना संस्था ने प्रायोगिक ARPANET कूटलेखन उपकरणों की एक श्रृंखला को प्रायोजित किया, पहले निवासी ARPANET वेष्टक कूटलेखन के लिए और बाद में TCP/आईपी वेष्टक कूटलेखन के लिए; इनमें से कुछ प्रमाणित और क्षेत्रबद्ध थे। 1986 से 1991 तक, NSA ने अपने सुरक्षित डेटा संजाल व्यवस्था (SDNS) क्रमानुदेश के तहत इंटरनेट के लिए सुरक्षा प्रोटोकॉल के विकास को प्रायोजित किया। इसने मोटोरोला सहित विभिन्न विक्रेताओं को एक साथ लाया, जिन्होंने 1988 में एक संजाल कूटलेखन उपकरण का उत्पादन किया था। यह कार्य राष्ट्रीय मानक और प्रौद्योगिकी संस्थान द्वारा लगभग 1988 से खुले तौर पर प्रकाशित किया गया था और इनमें से परत 3 (SP3) पर सुरक्षा प्रोटोकॉल अंततः आईएसओ में बदल जाएगा। मानक संजाल परत सुरक्षा प्रोटोकॉल (एनएलएसपी)।

1992 से 1995 तक, विभिन्न सूत्रधारों ने आईपी-परत कूटलेखन में अनुसंधान किया।
 * 1. 1992 में, यूएस नौसेना अनुसंधान प्रयोगशाला (NRL) ने आईपी कूटलेखन पर शोध करने और उसे परिपालित करने के लिए सामान्य इंटरनेट प्रोटोकॉल प्लस (एसआईपीपी) परियोजना आरंभ किया।
 * 2. 1993 में, कोलंबिया विश्वविद्यालय और एटी एंड टी बेल लैब्स में, जॉन आयोनिडिस और अन्य ने SunOS SunOS पर प्रक्रिया विषय सूचीप्रायोगिक प्रक्रिया विषय सूचीआईपी कूटलेखन प्रोटोकॉल (स्वाइप) पर शोध किया।
 * 3. 1993 में, व्हाइटहाउस इंटरनेट सेवा परियोजना द्वारा प्रायोजित, विश्वसनीय सूचना प्रणाली (टीआईएस) में वेई जू ने प्रक्रिया विषय सूचीआईपी सुरक्षा प्रोटोकॉल पर और शोध किया और ट्रिपल डेस के लिए यंत्रविषयसूची समर्थन विकसित किया, जिसे बर्कले प्रक्रिया विषय सूचीवितरण 4.1 कर्नेल में कूटबद्ध किया गया था और x86 और SUNOS संरचना दोनों का समर्थन किया था। दिसंबर 1994 तक, TIS ने दरपा-प्रायोजित विवृत-स्रोत गौंटलेट फ़ायरवॉल उत्पाद को T1 गति से अधिक एकीकृत 3DES यंत्रविषयसूची कूटलेखन के साथ जारी किया। यह पहली बार राज्यों के पूर्वी और पश्चिमी तट के बीच आईपीसेक VPN संपर्क का उपयोग कर रहा था, जिसे पहले वाणिज्यिक आईपीसेक VPN उत्पाद के रूप में जाना जाता है।
 * 4. एनआरएल के डीएआरपीए-वित्तपोषित अनुसंधान प्रयास के तहत, एनआरएल ने आईपीएसईसी के लिए आईईटीएफ मानक-ट्रैक विशेष विवरण (आरएफसी 1825 से आरएफसी 1827 तक) को विकसित किया, जिसे बीएसडी 4.4 कर्नेल में कूटबद्ध किया गया था और x86 और स्पार्क सीपीयू संरचना दोनों का समर्थन किया था। 1996 के USENIX सम्मेलन की कार्यवाही में उनके पेपर में NRL के आईपीसेक कार्यान्वयन का वर्णन किया गया था। NRL का विवृत-स्रोत आईपीसेक    कार्यान्वयन MIT द्वारा ऑनलाइन उपलब्ध कराया गया था और अधिकांश प्रारंभिक व्यावसायिक कार्यान्वयनों का आधार बन गया।

इंटरनेट इंजीनियरिंग कार्य बल (आईईटीएफ) ने 1992 में आईपी सुरक्षा कार्य सूत्रधार का गठन किया आईपी के लिए खुले तौर पर निर्दिष्ट सुरक्षा विस्तारण को मानकीकृत करने के लिए, जिसे आईपीसेक कहा जाता है। 1995 में, कार्यकारी सूत्रधार ने पांच कंपनियों (टीआईएस, सिस्को, एफटीपी, चेकप्वाइंट, आदि) के सदस्यों के साथ कुछ कार्यशालाओं का आयोजन किया। आईपीसेक कार्यशालाओं के दौरान, NRL के मानकों और Cisco और TIS के प्रक्रिया विषय सूचीको सार्वजनिक संदर्भ के रूप में मानकीकृत किया जाता है, RFC-1825 के माध्यम से RFC-1827 के रूप में प्रकाशित किया जाता है।

सुरक्षा संरचना
आईपीसेक, आईपीवी 4 सूट के एक भाग के रूप में एक खुला मानक है। आईपीसेक विभिन्न कार्यों को करने के लिए निम्नलिखित प्रोटोकॉल (कंप्यूटिंग) का उपयोग करता है:
 * प्रमाणीकरण हेडर्स (एएच) आईपी डेटाग्राम के लिए संयोजन रहित डेटा अखंडता और डेटा मूल प्रमाणीकरण प्रदान करता है और पुनर्प्रदर्शन आक्षेप से सुरक्षा प्रदान करता है।
 * प्रावरण सुरक्षा प्रदायभार (ईएसपी) गोपनीयता, संपर्क रहित डेटा अखंडता, डेटा मूल प्रमाणीकरण, एक प्रति -पुनर्प्रदर्शन सेवा (आंशिक अनुक्रम अखंडता का एक रूप), और सीमित परियात-प्रवाह गोपनीयता प्रदान करता है।
 * इंटरनेट सुरक्षा समिति और कुंजी प्रबंधन प्रोटोकॉल (आईएसएकेएमपी) प्रमाणीकरण और कुंजी विनिमय के लिए एक ढांचा प्रदान करता है, वास्तविक प्रमाणित कुंजीयन विषय सूचीके साथ या तो पूर्व-साझा कुंजियों के साथ हस्तचालित विन्यास द्वारा प्रदान किया जाता है, इंटरनेट कुंजी विनिमय (आईकेई और आईकेईवी2), कुंजियों का कर्बरीकृत इंटरनेट परक्रामण(किंक) ), या DNS अभिलेख प्रकारों की आईपीसेक KEY सूची।  उद्देश्य एएच और/या ईएसपी संचालन के लिए आवश्यक एल्गोरिदम और प्राचल के सूत्रधार  के साथ सुरक्षा समितिों (एसए) को उत्पन्न करना है।

प्रमाणीकरण हेडर्स
सुरक्षा प्रमाणीकरण हैडर (एएच) को 1990 के दशक की शुरुआत में अमेरिकी नौसेना अनुसंधान प्रयोगशाला में विकसित किया गया था और साधारण संजाल प्रबंधन प्रोटोकॉल (एसएनएमपी) संस्करण 2 के प्रमाणीकरण के लिए पूर्व आईईटीएफ मानकों के काम से लिया गया है। प्रमाणीकरण हेडर (एएच) है आईपीसेक प्रोटोकॉल सूट का एक सदस्य। एएच एल्गोरिदम में हैश फंकशन और एक गुप्त साझा कुंजी का उपयोग करके एएच संपर्क रहित डेटा अखंडता सुनिश्चित करता है। एएच भी आईपी वेष्टक (सूचना प्रौद्योगिकी) को प्रमाणित करके डेटा उत्पत्ति की गारंटित देता है। वैकल्पिक रूप से एक अनुक्रम संख्या आईपीसेक वेष्टक की अंतर्वस्तु को पुनर्प्रदर्शन आक्षेप से बचा सकती है, विसर्पण विंडो तकनीक का उपयोग करना और पुराने वेष्टकों को हटाना।

निम्नलिखित एएच वेष्टक आरेख दिखाता है कि एएच वेष्टक कैसे बनाया और व्याख्या किया जाता है:
 * आईपीवी 4 में, एएच निवेशन-सम्मिलन अटैक को रोकता है। आईपीवी6 में, एएच हेडर निवेशन अटैक और विकल्प निवेशन अटैक दोनों से बचाता है।
 * आईपीवी 4 में, एएच, आईपी पेलोड और आईपी ​​​​डेटाग्राम के सभी हेडर फ़ील्ड्स की सुरक्षा करता है अतिरिक्त परिवर्तनशील फ़ील्ड्स (अर्थात जिन्हें पारगमन में बदला जा सकता है), और आईपी विकल्पों जैसे आईपी सुरक्षा विकल्प ([rfc:1108 आरएफसी 1108]) को भी। परिवर्तनीय (और इसलिए अपुष्ट) आईपीवी 4 हेडर फ़ील्ड डीएससीपी/टीओएस, ईसीएन, फ्लैग, फ्रैगमेंट ऑफसेट, टीटीएल और हैडर चेकसम। *
 * आईपीवी6 में, एच अधिकांश आईपीवी6 आधार हेडर, एएच स्वयं, एएच के बाद गैर-परिवर्तनीय विस्तार हेडर और आईपी पेलोड की सुरक्षा करता है। आईपीवी6 हेडर के लिए सुरक्षा में परिवर्तनशील क्षेत्र सम्मिलित नहीं हैं: डीएससीपी, ईसीएन, प्रवाह लेबल और हॉप सीमा।                                                                                                                                                                                                    एएच आईपी प्रोटोकॉल नंबर 51 का उपयोग करके सीधे आईपी के शीर्ष पर काम करता है।
 * अगला हैडर (8 बिट): अगला हेडर का प्रकार, यह दर्शाता है कि किस ऊपरी-परत प्रोटोकॉल को सुरक्षित किया गया था। मूल्य आईपी प्रोटोकॉल नंबरों की सूची से लिया गया है।
 * पेलोड लेन (8 बिट्स) : इस प्रमाणीकरण हैडर की लंबाई 4-ऑक्टेट इकाइयों में, माइनस 2 है। उदाहरण के लिए, 4 का एएच मूल्य 3×(32-बिट निश्चित-लम्बाई एएच फ़ील्ड्स) + 3×(32-बिट) के बराबर होता है। आईसीवी फ़ील्ड) - 2 और इस प्रकार 4 के एएच मान का अर्थ 24 ऑक्टेट है। यद्यपि आकार को 4-ऑक्टेट इकाइयों में मापित किया जाता है, अगर आईपीवी6 वेष्टक में ले जाया जाता है तो इस हेडर की लंबाई 8 ऑक्टेट की एक विविध होनी चाहिए। यह प्रतिबंध आईपीवी 4 वेष्टक में रखे गए प्रमाणीकरण हैडर पर परिपालित नहीं होता है।
 * आरक्षित (16 बिट्स): भविष्य में उपयोग के लिए आरक्षित (तब तक सभी शून्य)।
 * सुरक्षा प्राचल्स अनुक्रमणिका (32 बिट्स): प्राप्त करने वाले पक्ष के सुरक्षा समिति की पहचान करने के लिए स्वेच्छमूल्य जिसका उपयोग (गंतव्य आईपी पते के साथ) किया जाता है।
 * अनुक्रम संख्या (32 बिट्स): रिप्ले आक्षेप को रोकने के लिए एकदिष्ट पूर्णतः से बढ़ती क्रम संख्या (भेजे गए प्रत्येक वेष्टक के लिए 1 की वृद्धि)। जब पुनर्प्रदर्शन संसूचन को सक्षम किया जाता है, तो अनुक्रम संख्या का पुन: उपयोग नहीं किया जाता है, क्योंकि अनुक्रम संख्या को उसके अधिकतम मूल्य से आगे बढ़ाने के प्रयास से पहले एक नए सुरक्षा समिति पर फिर से विचार किया जाना चाहिए।

संपूर्णता जांच मूल्य (32 बिट्स के विविध)

 * चर लंबाई जाँच मूल्य। इसमें फ़ील्ड को आईपीवी6 के लिए 8-ऑक्टेट सीमा, या आईपीवी 4 के लिए 4-ऑक्टेट सीमा में संरेखित करने के लिए प्रसेचन हो सकती है।

सुरक्षा पेलोड को प्रावरण करना
आईपी ​​प्रावरणिंग सुरक्षा पेलोड (ईएसपी) 1992 में एक दरपा-प्रायोजित अनुसंधान परियोजना के हिस्से के रूप में नौसेना अनुसंधान प्रयोगशाला में विकसित किया गया था, और आईईटीएफ एसआईपीपी द्वारा खुले तौर पर प्रकाशित किया गया था एसआईपीपी के लिए सुरक्षा विस्तार के रूप में दिसंबर 1993 में कार्य सूत्रधार का प्रारूप तैयार किया गया। यह ईएसपी मूल रूप से आईएसओ संजाल -परत सुरक्षा प्रोटोकॉल (एनएलएसपी) से प्राप्त होने के बजाय अमेरिकी रक्षा विभाग एसपी3डी प्रोटोकॉल से प्राप्त हुआ था। एसपी3डी प्रोटोकॉल विनिर्देश एनआईएसटी द्वारा 1980 के दशक के अंत में प्रकाशित किया गया था, लेकिन अमेरिकी रक्षा विभाग के सुरक्षित डेटा संजाल सिस्टम परियोजना द्वारा बनाया गया था। प्रावरणिंग सुरक्षिति पेलोड (ईएसपी) आईपीसेक प्रोटोकॉल सूट का एक हिस्सा है। यह आईपी वेष्टक के लिए विन्यास सुरक्षा के माध्यम से स्रोत प्रमाणीकरण, डेटा अखंडता के माध्यम से हैश कार्यों और गोपनीयता के माध्यम से मूल प्रामाणिकता प्रदान करता है। ईएसपी केवल-कूटलेखन और केवल-प्रमाणीकरण विन्यास का भी समर्थन करता है, लेकिन प्रमाणीकरण के बिना कूटलेखन का उपयोग करने को दृढ़ता से हतोत्साहित किया जाता है क्योंकि यह असुरक्षित है।

प्रमाणीकरण हैडर (एएच) के विपरीत, ट्रांसपोर्ट संचार में ईएसपी संपूर्ण आईपी ​​​​वेष्टक (बहुविकल्पी) के लिए अखंडता और प्रमाणीकरण प्रदान नहीं करता है। तथापि, टनलिंग संचार में, जहाँ संपूर्ण मूल आईपी वेष्टक एक नए वेष्टक हेडर के साथ संपुटिक किया जाता है, ईएसपी सुरक्षा पूरे आंतरिक आईपी वेष्टक (आंतरिक हेडर सहित) को प्रदान की जाती है, जबकि बाहरी हेडर (किसी भी बाहरी आईपीवी 4 विकल्प या आईपीवी6 सहित) विस्तार हेडर) असुरक्षित रहता है।

ईएसपी, आईपी प्रोटोकॉल नंबर 50 का उपयोग करके सीधे आईपी के शीर्ष पर कार्य करता है।

निम्नलिखित ईएसपी वेष्टक आरेख दिखाता है कि ईएसपी वेष्टक का निर्माण और व्याख्या कैसे की जाती है:
 * सुरक्षा प्राचल्स अनुक्रमणिका (32 बिट्स): प्राप्त करने वाले पक्ष के सुरक्षा समिति की पहचान करने के लिए स्वेच्छ मूल्य (गंतव्य आईपी पते के साथ) का उपयोग किया जाता है।
 * अनुक्रम संख्या (32 बिट्स): पुनरावृत्ति आक्षेप से बचाने के लिए एक मोनोटोनिक रूप से बढ़ती क्रम संख्या (भेजे गए प्रत्येक वेष्टक के लिए 1 की वृद्धि)। हर सुरक्षा समिति के लिए अलग प्रतिकूल रखा गया है।
 * पेलोड डेटा (परिवर्तनीय): मूल आईपी वेष्टक की संरक्षित विषय सूची, विषय सूची की सुरक्षा के लिए उपयोग किए जाने वाले किसी भी डेटा सहित (उदाहरण के लिए गुप्‍तलेखीय एल्गोरिदम के लिए प्रारंभिक वेक्टर)। जिस प्रकार की विषय सूची को सुरक्षित किया गया था, उसे अगले हेडर फ़ील्ड द्वारा इंगित किया गया है।
 * प्रसेचन (0-255 ऑक्टेट): कूटलेखन के लिए प्रसेचन, पेलोड डेटा को उस आकार तक विस्तारित करने के लिए जो कूटलेखन के सिफर ब्लॉक आकार (क्रिप्टोग्राफी) में उपयुक्त बैठता है, और अगले फ़ील्ड को संरेखित करने के लिए।
 * पैड की लंबाई (8 बिट): प्रसेचन का आकार (अष्टक में)।
 * अगला हैडर (8 बिट): अगले हैडर का प्रकार। मान आईपी प्रोटोकॉल नंबरों की सूची से लिया गया है।
 * संपूर्णता मूल्य जांचें (32 बिट्स के विविध): चर लंबाई चेक मूल्य जांच। इसमें फ़ील्ड को आईपीवी6 के लिए 8-ऑक्टेट सीमा, या आईपीवी 4 के लिए 4-ऑक्टेट सीमा में संरेखित करने के लिए प्रसेचन हो सकती है।

सुरक्षा समिति
आईपीसेक प्रोटोकॉल एक सुरक्षा समिति का उपयोग करते हैं, जहाँ संचार करने वाले पक्ष एल्गोरिदम और कुंजियों जैसी साझा सुरक्षा विशेषताएँ स्थापित करते हैं। इस प्रकार, आईपीसेक विकल्पों की एक श्रृंखला प्रदान करता है जब यह निर्धारित किया जाता है कि एएच या ईएसपी का उपयोग किया जाता है या नहीं। डेटा का आदान-प्रदान करने से पहले, दो सूत्रधार इस बात पर सहमत होते हैं कि आईपी वेष्टक को गोपित करने के लिए सममित-कुंजी एल्गोरिथ्म का उपयोग किया जाता है, उदाहरण के लिए उन्नत कूटलेखन मानक या ChaCha20, और किस हैश कार्य का उपयोग डेटा की अखंडता को सुनिश्चित करने के लिए किया जाता है, जैसे BLAKE2 या SHA- 2. ये प्राचल विशेष सत्र के लिए सहमत हैं, जिसके लिए जीवन काल सहमत होना चाहिए और एक सत्र कुंजी।

डेटा स्थानांतरण होने से पहले प्रमाणीकरण के लिए एल्गोरिथ्म भी सहमत है और आईपीसेक कई तरीकों का समर्थन करता है। पूर्व-साझा कुंजी के माध्यम से प्रमाणीकरण संभव है, जहां एक सममित कुंजी पहले से ही दोनों सूत्रधारों के अधिकृत में है, और सूत्रधार साझा कुंजी के एक दूसरे को हैश भेजते हैं ताकि यह सिद्ध हो सके कि वे एक ही कुंजी के अधिकृत में हैं। आईपीसेक सार्वजनिक कुंजी कूटलेखन का भी समर्थन करता है, जहाँ प्रत्येक सूत्रधार के पास एक सार्वजनिक और एक निजी कुंजी होती है, वे अपनी सार्वजनिक कुंजियों का आदान-प्रदान करते हैं और प्रत्येक सूत्रधार को दूसरे सूत्रधार की सार्वजनिक कुंजी के साथ एन्क्रिप्टेड एक गुप्‍तलेखीय अस्थायी भेजता है। वैकल्पिक रूप से यदि दोनों सूत्रधार के पास प्रमाणपत्र प्राधिकारी से सार्वजनिक कुंजी प्रमाणपत्र है, तो इसका उपयोग आईपीसेक प्रमाणीकरण के लिए किया जा सकता है।

आईपीसेक के सुरक्षा समिति इंटरनेट सुरक्षा समिति और कुंजी प्रबंधन प्रोटोकॉल (आईएसएकेएमपी) का उपयोग करके स्थापित किए गए हैं। आईएसएकेएमपी को पूर्व-साझा रहस्यों, इंटरनेट कुंजी विनिमय (IKE और IKEv2),कुंजियों का कर्बरीकृत इंटरनेट परक्रामण (किंक) और डीएनएस अभिलेख प्रकारों की आईपीसेक कुंजी सूची के उपयोग के साथ हस्तचालित विन्यास द्वारा कार्यान्वित किया जाता है।  RFC 5386 बेटर-दैन-नथिंग सुरक्षितिटी (BTNS) को विस्तारित आईकेई प्रोटोकॉल का उपयोग करके आईपीसेक के एक अप्रमाणित संचार के रूप में परिभाषित करता है। सी. मीडोज, सी. क्रेमर्स, और अन्य ने IKEv1 और IKEv2 में मौजूद विभिन्न विसंगतियों की पहचान करने के लिए औपचारिक तरीकों का उपयोग किया है।

एक निर्गमनी वेष्टक के लिए कौन सी सुरक्षा प्रदान की जानी है, यह तय करने के लिए, आईपीसेक सुरक्षा प्राचल सूचकांक (एसपीआई) का उपयोग करता है, जो सुरक्षा समिति डेटाबेस (एसएडीबी) के लिए एक अनुक्रमणिका है, साथ ही एक वेष्टक हेडर में गंतव्य का पता होता है, जो एक साथ विशिष्ट पहचान करता है। उस वेष्टक के लिए एक सुरक्षा समिति। आने वाले वेष्टक के लिए एक समान प्रक्रिया की जाती है, जहां आईपीसेक सुरक्षा समिति डेटाबेस से विकोडन और सत्यापन कुंजी एकत्र करता है।

आईपी ​​​​बहुस्त्र्पीय के लिए सूत्रधार के लिए एक सुरक्षा समिति प्रदान किया जाता है, और सूत्रधार के सभी अधिकृत प्रापकता में द्वयावृत्त किया जाता है। विभिन्न एसपीआई का उपयोग करते हुए एक सूत्रधार के लिए एक से अधिक सुरक्षा समिति हो सकते हैं, जिससे एक सूत्रधार के भीतर कई स्तरों और सुरक्षा के समुच्चय की अनुमति मिलती है। वास्तव में, प्रत्येक प्रेषक के पास कई सुरक्षा समिति हो सकते हैं, प्रमाणीकरण की अनुमति देते हैं, क्योंकि एक प्रापकता केवल यह जान सकता है कि कुंजी जानने वाले ने डेटा भेजा है। ध्यान दें कि प्रासंगिक मानक यह वर्णन नहीं करता है कि कैसे समिति को चुना जाता है और पूरे सूत्रधार में द्वयावृत्त किया जाता है; यह माना जाता है कि एक जिम्मेदार पार्टी ने चुनाव किया होगा।

संचालन के तरीके
आईपीसेक प्रोटोकॉल एएच और ईएसपी को सूत्रधार-से-सूत्रधार ट्रांसपोर्ट संचार के साथ-साथ संजाल टनलिंग संचार में भी परिपालित किया जा सकता है।

ट्रांसपोर्ट संचार
ट्रांसपोर्ट संचार में, केवल आईपी वेष्टक का पेलोड सामान्यतया पर कूट रूप दिया गया या प्रमाणित होता है। रूटिंग बरकरार है, क्योंकि आईपी हेडर न तो संशोधित है और न ही एन्क्रिप्ट किया गया है; तथापि, जब प्रमाणीकरण हैडर का उपयोग किया जाता है, तो आईपी पते को संजाल पता अनुवादन द्वारा संशोधित नहीं किया जा सकता है, क्योंकि यह हमेशा हैश मान को अमान्य करता है। ट्रांसपोर्ट और अनुप्रयोग परत हमेशा एक हैश द्वारा सुरक्षित होते हैं, इसलिए उन्हें किसी भी तरह से संशोधित नहीं किया जा सकता है,उदाहरण के लिए पोर्ट नंबरों का अनुवाद करके।

एनएटी ट्रैवर्सल के लिए आईपीसेक संदेशों को प्रावरण करने का एक साधन NAT-T प्रक्रिया का वर्णन करने वाले टिप्पणियों के लिए अनुरोध दस्तावेज़ द्वारा परिभाषित किया गया है।

टनल मोड
टनल संचार में, पूरे आईपी वेष्टक को एन्क्रिप्ट और प्रमाणित किया जाता है। इसके बाद इसे एक नए आईपी हेडर के साथ एक नए आईपी वेष्टक में प्रावरण किया जाता है। टनल संचार का उपयोग संजाल -से-संजाल संचार (जैसे राउटर से लिंक साइटों के बीच), सूत्रधार-से-संजाल संचार (जैसे दूरस्थ उपयोगकर्ता पहुंच) और सूत्रधार-से-सूत्रधार संचार (जैसे निजी बातचीत) के लिए वर्चुअल निजी संजाल बनाने के लिए किया जाता है।

टनल संचार NAT ट्रैवर्सल का समर्थन करता है।

सममित कूटलेखन एल्गोरिदम
आईपीसेक के साथ उपयोग के लिए परिभाषित गुप्‍तलेखीय एल्गोरिदम में सम्मिलित हैं:
 * HMAC-SHA1/SHA2 अखंडता संरक्षण और प्रामाणिकता के लिए।
 * गोपनीयता के लिए ट्रिपल डीईएस-सीबीसी
 * गोपनीयता के लिए एईएस-सीबीसी और एईएस-सीटीआर।
 * AES-GCM और ChaCha20-Poly1305 कुशलतापूर्वक एक साथ गोपनीयता और प्रमाणीकरण प्रदान करते हैं।

विवरण के लिए आरएफसी 8221 का संदर्भ लें।

कुंजी विनिमय एल्गोरिदम

 * डिफी-हेलमैन (RFC 3526)
 * ईसीडीएच (RFC 4753)

प्रमाणीकरण एल्गोरिदम

 * आरएसए (क्रिप्टोसिस्टम)
 * ईसीडीएसए ([rfc:6617 RFC 4754])
 * पूर्व-साझा कुंजी (RFC 6617)

कार्यान्वयन
आईपीसेक को संचालन प्रणाली के आईपी ढेर में परिपालित किया जा सकता है। कार्यान्वयन का यह तरीका सूत्रधारों और सुरक्षा द्वारों के लिए किया जाता है। एचपी या आईबीएम जैसी कंपनियों से विभिन्न आईपीसेक सक्षम आईपी ढेर उपलब्ध हैं। एक विकल्प तथाकथित ढेर में टक्कर (बीआईटीएस) कार्यान्वयन है, जहां संचालन प्रणाली स्रोत संहिता को संशोधित करने की आवश्यकता नहीं होती है। यहाँ आईपीसेक आईपी ढेर और संजाल उपकरण चालक के बीच स्थापित है। इस प्रकार आईपीसेक के साथ संचालन प्रणाली को पुनःसंयोजन किया जा सकता है। कार्यान्वयन की इस पद्धति का उपयोग सूत्रधार और मार्ग दोनों के लिए भी किया जाता है। तथापि, आईपीसेक को पुनःसंयोजन करते समय आईपी वेष्टकों का संपुटीकरण  स्वचालित पथ एमटीयू खोज के लिए समस्याएँ पैदा कर सकता है, जहाँ दो आईपी सूत्रधार के बीच संजाल पथ पर अधिकतम संचरण इकाई (एमटीयू) आकार स्थापित होता है। यदि किसी सूत्रधार या मार्ग के पास एक भिन्न क्रिप्टोप्रोसेस्सोर है, जो संग्रामिक में सामान्य है और वाणिज्यिक प्रणालियों में भी पाया जा सकता है, तो आईपीसेक का एक तथाकथित टक्कर में तार (बीटीडब्ल्यू) कार्यान्वयन संभव है।

जब आईपीसेक को कर्नेल (संचालन प्रणाली) में परिपालित किया जाता है, तो कुंजी प्रबंधन और आईएसएकेएमपी/इंटरनेट कुंजी विनिमय बातचीत उपयोगकर्ता स्थान से की जाती है। एनआरएल-विकसित और खुले तौर पर निर्दिष्ट PF_KEY कुंजी प्रबंधन एपीआई, संस्करण 2 का उपयोग प्रायः कर्नेल-स्पेस आईपीसेक कार्यान्वयन के भीतर संग्रहीत आईपीसेक सुरक्षा समितिों को अद्यतन करने के लिए एप्लिकेशन-स्पेस कुंजी प्रबंधन एप्लिकेशन को सक्षम करने के लिए किया जाता है। वर्तमान आईपीसेक कार्यान्वयन में सामान्यतया पर ईएसपी, एएच, औरआईकेई संस्करण 2 सम्मिलित होते हैं। यूनिक्स-जैसा संचालन प्रणाली पर मौजूदा आईपीसेक कार्यान्वयन, उदाहरण के लिए, सूर्यपुराणवाद या लाइनेक्स, में सामान्यतया पर PF_KEY संस्करण 2 सम्मिलित होता है।

अंतः स्थापित प्रणाली आईपीसेक का उपयोग एक छोटे से ओवरहेड के साथ विवश संसाधन प्रणालियों पर चल रहे अनुप्रयोगों के बीच सुरक्षित संचार सुनिश्चित करने के लिए किया जा सकता है।

मानक स्थिति
आईपीसेक को आईपीवी6 के संयोजन में विकसित किया गया था और मूल रूप से RFC 6434 द्वारा इसे केवल एक अनुशंसा करने से पहले आईपीवी6 के सभी मानकों-अनुपालन कार्यान्वयन द्वारा समर्थित होने की आवश्यकता थी। आईपीवी 4    कार्यान्वयन के लिए आईपीसेक भी वैकल्पिक है। आईपीसेक का उपयोग सामान्यतया पर आईपीवी 4 परियात को सुरक्षित करने के लिए किया जाता है।

आईपीसेक प्रोटोकॉल मूल रूप से RFC 1825 में RFC 1829 के माध्यम से परिभाषित किए गए थे, जो 1995 में प्रकाशित हुए थे। 1998 में, इन दस्तावेजों को RFC 2401 और RFC 2412 द्वारा कुछ असंगत अभियान्त्रिकी विवरणों के साथ अधिक्रमित किया गया था, यद्यपि वे वैचारिक रूप से समान थे। इसके अलावा, सुरक्षा समिति को बनाने और प्रबंधित करने के लिए एक पारस्परिक प्रमाणीकरण और कुंजी विनिमय प्रोटोकॉल इंटरनेट की विनिमय (आईकेई) को परिभाषित किया गया था। दिसंबर 2005 में, RFC 4301 और RFC 4309 में नए मानकों को परिभाषित किया गया था, जो इंटरनेट की विनिमय मानक IKEv2 के दूसरे संस्करण के साथ पूर्व संस्करणों का एक अधिसमुच्चय है। इन तीसरी पीढ़ी के दस्तावेज़ों ने आईपीसेक के संक्षिप्त नाम को ऊपरीकेस "आईपी" और लोअरकेस "सेकंड" में मानकीकृत किया। "ईएसपी" सामान्यत: पर आरएफसी 4303 को संदर्भित करता है, जो विनिर्देश का नवीनतम संस्करण है।

2008 के मध्य से, एक आईपीसेक अनुरक्षण और विस्तार (आईपीसेक me) कार्यकारी सूत्रधार आईईटीएफ में सक्रिय है।

कथित एनएसए हस्तक्षेप
2013 में, स्नोडेन लीक के हिस्से के रूप में, यह पता चला था कि बुलरुन कार्यक्रम के हिस्से के रूप में अमेरिकी राष्ट्रीय सुरक्षा अभिकरण सक्रिय रूप से "व्यावसायिक एन्क्रिप्शन प्रणाली, आईटी प्रणाली, संजाल और लक्ष्य द्वारा उपयोग किए जाने वाले समापन बिंदु संचार उपकरणों में कमजोरियों को सम्मिलित करने" के लिए काम कर रही थी। ऐसे अभिकथन हैं कि आईपीसेक एक लक्षित कूटलेखन प्रणाली थी।

OpenBSD आईपीसेक स्टैक बाद में आया और व्यापक रूप से कॉपी किया गया। 11 दिसंबर 2010 को ग्रेगरी पेरी से OpenBSD के प्रमुख विकासक थियो डी रैडट को प्राप्त एक पत्र में, यह आरोप लगाया गया है कि एफबीआई के लिए काम करने वाले जेसन राइट और अन्य ने OpenBSD क्रिप्टो में "कई गुप्तद्वार और पार्श्व प्रणाली की लीकिंग प्रक्रिया " डाले। कोड। 2010 से अग्रेषित ईमेल में, थियो डी रैडट ने पहले ईमेल को अग्रेषित करने से निहित समर्थन के अलावा दावों की वैधता पर आधिकारिक स्थिति व्यक्त नहीं की थी। अभिकथन पर जेसन राइट की प्रतिक्रिया: "हर शहरी किंवदंती को वास्तविक नामों, तिथियों और समय के समावेश से और अधिक वास्तविक बना दिया जाता है। ग्रेगरी पेरी का ईमेल इस श्रेणी में आता है। ... मैं स्पष्ट रूप से कहूंगा कि मैंने OpenBSD संचालन में गुप्तद्वार को नहीं जोड़ा। व्यवस्था या OpenBSD क्रिप्टोग्राफिक संरचना (ओसीएफ)।" कुछ दिनों बाद, डी राड्ट ने टिप्पणी की कि "मेरा मानना है कि नेटसेक को कथित तौर पर गुप्तद्वार लिखने के लिए अनुबंधित किया गया था। ... यदि वे लिखे गए थे, तो मुझे विश्वास नहीं होता कि उन्होंने इसे हमारे तरु में बनाया है।" यह स्नोडेन लीक से पहले प्रकाशित हुआ था।

लोगजाम (कंप्यूटर सुरक्षा) हमले के लेखकों द्वारा प्रस्तुत एक वैकल्पिक स्पष्टीकरण से पता चलता है कि एनएसए ने प्रमुख विनिमय में उपयोग किए जाने वाले डिफी-हेलमैन एल्गोरिदम को कम करके आईपीसेक वीपीएन से समझौता किया। अपने पेपर में, उन्होंने आरोप लगाया किएनएसए ने विशेष रूप से विशिष्ट उत्कृष्ट और जनित्र के लिए गुणक उपसमूहों की पूर्व-गणना करने के लिए एक कंप्यूटिंग समूह बनाया, जैसे कि  RFC 2409  में परिभाषित दूसरे ओकले समूह के लिए। मई 2015 तक, 90% संबोधित करने योग्य आईपीसेक वीपीएन ने आईकेई के हिस्से के रूप में दूसरे ओकले समूह का समर्थन किया। यदि कोई संगठन इस समूह की पूर्व-गणना करता है, तो वे बदले जा रही कुंजीयों को प्राप्त कर सकते हैं और किसी भी प्रक्रिया सामग्री को गुप्तद्वार में डाले बिना ट्रैफ़िक को विकोडन कर सकते हैं।

एक दूसरा वैकल्पिक स्पष्टीकरण जो सामने रखा गया था वह यह था कि समीकरण सूत्रधार ने कई निर्माताओं के वीपीएन उपकरणों के खिलाफ शून्य-दिन (कंप्यूटिंग) के शोषण का इस्तेमाल किया था, जिसे कास्परस्की लैब द्वारा इक्वेशन ग्रुप से बंधे होने के रूप में मान्य किया गया था और उन निर्माताओं द्वारा वास्तविक शोषण के रूप में मान्य किया गया, जिनमें से कुछ उनके प्रदर्शन के समय शून्य-दिन के शोषण थे। सिस्को पिक्स और एएसए और एएसए फ़ायरवॉल में भेद्यताएँ थीं जिनका उपयोग एनएसए द्वारा वायरटैपिंग के लिए किया गया था.

इसके अलावा, आक्रामक संचार समुच्चयन का उपयोग करने वाले आईपीसेक वीपीएन स्पष्ट रूप से पीएसके का हैश भेजते हैं। यह ऑफ़लाइन शब्दकोश आक्षेप का उपयोग करके एनएसए द्वारा स्पष्ट रूप से लक्षित किया जा सकता है और लक्षित किया जा सकता है।

मानक ट्रैक

 * : ईएसपी डेस-सीबीसी रूपांतरण
 * : ईएसपी और एएच के भीतर एचएमएसी-एमडी5-96 का उपयोग
 * : ईएसपी और एएच के भीतर एचएमएसी-एसएचए-1-96 का उपयोग
 * : स्पष्ट IV के साथ ईएसपी डीईएस-सीबीसी सिफर एल्गोरिथम
 * : पूर्ण कूटलेखन एल्गोरिथम और आईपीसेक के साथ इसका उपयोग
 * : ईएसपी सीबीसी-संचार सिफर एल्गोरिदम
 * : ईएसपी और एएच के भीतर एचएमएसी-आरआईपीईएमडी-160-96 का उपयोग
 * : अधिक प्रमापीय चरघातांकी (एमओडीपी) डिफी-हेलमैन कुंजी विनिमय (आईकेई) के लिए
 * : एईएस-सीबीसी सिफर एल्गोरिदम और आईपीसेक के साथ इसका उपयोग
 * : आईपीसेक प्रावरणिंग सुरक्षा पेलोड (ईएसपी) के साथ उन्नत कूटलेखन मानक (एईएस) प्रत्युत्तर संचार का उपयोग करना
 * : आईकेई में एनएटी-पथक्रमण की बातचीत
 * : आईपीसेक ईएसपी वेष्टक का यूडीपी संपुटीकरण
 * : आईपीसेक प्रावरणिंग सुरक्षा पेलोड (ईएसपी) में गैलोज़/प्रत्युत्तर संचार (जीसीएम) का उपयोग
 * : इंटरनेट प्रोटोकॉल के लिए सुरक्षा संरचना
 * : आईपी प्रमाणीकरण हैडर
 * : आईपी प्रावरणिंग सुरक्षा पेलोड
 * : इंटरनेट सुरक्षा संगठन और कुंजी प्रबंधन प्रोटोकॉल (आईएसएकेएमपी) के लिए आईपीसेक व्याख्या का क्षेत्र (डीओआई) के लिए विस्तारित अनुक्रम संख्या (ईएसएन) परिशिष्ट
 * : इंटरनेट कुंजी विनिमय संस्करण 2 (IKEv2) में उपयोग के लिए गुप्‍तलेखीय एल्गोरिदम
 * : आईपीसेक के लिए गुप्‍तलेखीय सूट
 * : आईपीसेक प्रावरणिंग सुरक्षा पेलोड (ईएसपी) के साथ उन्नत कूटलेखन मानक (एईएस ) सीसीएम संचार का उपयोग करना
 * : आईपीसेक ईएसपी और एएच में गलोइस संदेश प्रमाणीकरण संहिता (जीएमएसी) का उपयोग
 * : IKEv2 गतिशीलता और बहुविधाकरण प्रोटोकॉल (मोबाइक)
 * : IKEv2 के लिए ऑनलाइन प्रमाणपत्र स्थिति प्रोटोकॉल (ओसीएसपी) विस्तार
 * : आईपीसेक के साथ एचएमएसी-एसएचए-256, एचएमएसी-एसएचए-384 और एचएमएसी-एसएचए-512 का उपयोग करना
 * : IKEv1/आईएसएकेएमपी, IKEv2, और पीकेआईएक्स की इंटरनेट आईपी सुरक्षा पीकेआई परिच्छेदिका
 * : इंटरनेट X.509 सार्वजनिक कुंजी अवसंरचना प्रमाणपत्र और प्रमाणपत्र निरस्तीकरण सूची (सीआरएल) परिच्छेदिका
 * : इंटरनेट कुंजी विनिमय संस्करण 2 (IKEv2) प्रोटोकॉल के एन्क्रिप्टेड पेलोड के साथ प्रमाणित कूटलेखन एल्गोरिदम का उपयोग करना
 * : कुछ नहीं से बेहतर सुरक्षितिटी: आईपीसेक का एक अप्रामाणित संचार
 * : आईपीसेक के साथ उपयोग के लिए कमीलया (सिफर) के संचालन के तरीके
 * : इंटरनेट कुंजी विनिमय प्रोटोकॉल संस्करण 2 (IKEv2) के लिए पुनर्निर्देशन प्रक्रिया
 * : इंटरनेट की विनिमय प्रोटोकॉल संस्करण 2 (IKEv2) सत्र पुनरारंभ
 * : IKEv2 विस्तार आईपीसेक पर सुदृढ़ हैडर संपीड़न का समर्थन करने के लिए
 * : आईपीसेक विस्तार आईपीसेक पर सुदृढ़ हैडर संपीड़न का समर्थन करने के लिए
 * : इंटरनेट की विनिमय प्रोटोकॉल संस्करण 2 (IKEv2)
 * : सुरक्षा पेलोड (ईएसपी) और प्रमाणीकरण हैडर (एएच) को प्रावरण करने के लिए गुप्‍तलेखीय एल्गोरिथम कार्यान्वयन आवश्यकताएँ और उपयोग मार्गदर्शन
 * : इंटरनेट कुंजी विनिमय प्रोटोकॉल संस्करण 2 (IKEv2) संदेश विखंडन
 * : इंटरनेट कुंजी विनिमय संस्करण 2 (IKEv2) में हस्ताक्षर प्रमाणीकरण
 * : चाचा20, पॉली1305, और इंटरनेट की विनिमय प्रोटोकॉल (IKE) और आईपीसेक में उनका उपयोग

प्रायोगिक RFCs

 * : इंटरनेट की विनिमय (IKEv2) प्रोटोकॉल में बार-बार प्रमाणीकरण

सूचनात्मक आरएफसी

 * : पीएफ_कुंजी अंतरापृष्ठ
 * : ओकली कुंजी निर्धारण प्रोटोकॉल
 * : पूर्णतया इंटरनेट की विनिमय (आईकेई) पीयर का पता लगाने की एक ट्रांसपोर्ट -आधारित विधि
 * : आईपीसेक-संजाल एड्रेस स्थानांतरण (NAT) संगतता आवश्यकताएँ
 * : IKEv2 गतिशीलता और बहुविधाकरण प्रोटोकॉल (मोबाइक) की योजना
 * : आईपीसेक प्रमाणपत्र प्रबंधन परिच्छेदिका के लिए आवश्यकताएँ
 * : कुछ नहीं से बेहतर सुरक्षा के लिए समस्या और प्रयोज्यता कथन (बीटीएनएस)
 * : आईपीसेक सुरक्षा समितिों पर मजबूत हैडर संपीड़न का एकीकरण
 * : इंटरनेट कुंजी विनिमय संस्करण 02 (IKEv2) प्रोटोकॉल के साथ उन्नत कूटलेखन मानक प्रत्युत्तर संचार (एईएस -सीटीआर) का उपयोग करना
 * : आईपीसेक गुच्छ समस्या कथन
 * : आईपीसेक और आईकेई दस्तावेज़ दिशानिर्देश
 * : आईपीसेक के लिए सुइट बी गुप्‍तलेखीय सूट
 * : सुइट बी इंटरनेट प्रोटोकॉल सुरक्षा के लिए परिच्छेदिका (आईपीसीईसी)
 * : इंटरनेट की विनिमय संस्करण 2 (IKEv2) के लिए सुरक्षित पासवर्ड संरचना

सर्वश्रेष्ठ वर्तमान अभ्यास RFCs

 * : आईपीसेक संस्करण 2 के उपयोग को निर्दिष्ट करने के लिए दिशानिर्देश

अप्रचलित/ऐतिहासिक आरएफसी

 * : इंटरनेट प्रोटोकॉल के लिए सुरक्षा संरचना (RFC 2401 द्वारा अप्रचलित)
 * : आईपी प्रमाणीकरण हैडर (आरएफसी 2402 द्वारा अप्रचलित)
 * : आईपी प्रावरणिंग सुरक्षितिटी पेलोड (ईएसपी) (RFC 2406 द्वारा अप्रचलित)
 * : कुंजीयुक्त एमडी5 (ऐतिहासिक) का उपयोग करके आईपी प्रमाणीकरण
 * : इंटरनेट प्रोटोकॉल के लिए सुरक्षा संरचना (आईपीसेक ओवरव्यू) (RFC 4301 द्वारा अप्रचलित)
 * : आईपी प्रावरणिंग सुरक्षितिटी पेलोड (ईएसपी) (RFC 4303 और RFC 4305 द्वारा अप्रचलित)
 * : आईएसएकेएमपी के लिए व्याख्या का इंटरनेट आईपी सुरक्षा कार्यक्षेत्र (RFC 4306 द्वारा अप्रचलित)
 * : इंटरनेट की विनिमय (RFC 4306 द्वारा अप्रचलित)
 * : सुरक्षा पेलोड (ईएसपी) और प्रमाणीकरण हैडर (एएच) को प्रावरण करने के लिए गुप्‍तलेखीय एल्गोरिथम कार्यान्वयन आवश्यकताएँ (RFC 4835 द्वारा अप्रचलित)
 * : इंटरनेट की विनिमय (IKEv2) प्रोटोकॉल (RFC 5996 द्वारा अप्रचलित)
 * : IKEv2 स्पष्टीकरण और कार्यान्वयन दिशानिर्देश (RFC 7296 द्वारा अप्रचलित)
 * : सुरक्षा पेलोड (ईएसपी) और प्रमाणीकरण हैडर (एएच) को प्रावरण करने के लिए गुप्‍तलेखीय एल्गोरिथम कार्यान्वयन आवश्यकताएँ (RFC 7321 द्वारा अप्रचलित)
 * : इंटरनेट की विनिमय प्रोटोकॉल संस्करण 2 (IKEv2) (RFC 7296 द्वारा अप्रचलित)

यह भी देखें

 * गतिशील बहु बिंदु वर्चुअल प्राइवेट नेटवर्क
 * सूचना सुरक्षा
 * एनएटी पथक्रमण
 * अवसरवादी कूटलेखन
 * टीसीपीक्रिप्ट

बाहरी संबंध

 * All आईईटीएफ active security WGs
 * आईईटीएफ आईपीसेक   me WG ("आईपी Security Maintenance and Extensions" Working Group)
 * आईईटीएफ btns WG ("Better-Than-Nothing Security" Working Group) (chartered to work on unauthenticated आईपीसेक  , आईपीसेक     APIs, connection latching)]
 * Securing Data in Transit with आईपीसेक    WindowsSecurity.com article by Deb Shinder
 * आईपीसेक    on Microsoft TechNet
 * Microsoft आईपीसेक    Diagnostic Tool on Microsoft Download Center
 * An Illustrated Guide to आईपीसेक    by Steve Friedl
 * Security Architecture for आईपी (आईपीसेक   ) Data Communication Lectures by Manfred Lindner Part आईपीसेक
 * Creating VPNs with आईपीसेक    and SSL/TLS Linux Journal article by Rami Rosen
 * Creating VPNs with आईपीसेक    and SSL/TLS Linux Journal article by Rami Rosen