Download full IPSec the new security standart for the internet intranets and virtual private networks 2nd ed Edition Doraswamy ebook all chapters

Download the full version of the ebook at
https://ebookultra.com
IPSec the new security standart for the

internet intranets and virtual private
networks 2nd ed Edition Doraswamy
https://ebookultra.com/download/ipsec-the-new-
security-standart-for-the-internet-intranets-and-
virtual-private-networks-2nd-ed-edition-doraswamy/
Explore and download more ebook at https://ebookultra.com

Recommended digital products (PDF, EPUB, MOBI) that
you can download immediately if you are interested.
IPSec The New Security Standard For The Internet Intranets

And Virtual Private Network 2nd Edition Naganand Doraswamy
https://ebookultra.com/download/ipsec-the-new-security-standard-for-
the-internet-intranets-and-virtual-private-network-2nd-edition-
naganand-doraswamy/
ebookultra.com
Cisco secure virtual private networks CSVPN CCSP self

study 2nd ed Edition Andrew G Mason
https://ebookultra.com/download/cisco-secure-virtual-private-networks-
csvpn-ccsp-self-study-2nd-ed-edition-andrew-g-mason/
ebookultra.com
Private Security and the Investigative Process Third

Edition Charles P. Nemeth
https://ebookultra.com/download/private-security-and-the-
investigative-process-third-edition-charles-p-nemeth/
ebookultra.com
Handbook of Wireless Local Area Networks Applications

Technology Security and Standards Internet and
Communications 1st Edition Mohammad Ilyas
https://ebookultra.com/download/handbook-of-wireless-local-area-
networks-applications-technology-security-and-standards-internet-and-
communications-1st-edition-mohammad-ilyas/
ebookultra.com
The Genealogist s Internet 2nd expanded ed Edition Peter
Christian
https://ebookultra.com/download/the-genealogist-s-internet-2nd-
expanded-ed-edition-peter-christian/
ebookultra.com
Building a virtual private network 1st Edition Meeta Gupta
https://ebookultra.com/download/building-a-virtual-private-
network-1st-edition-meeta-gupta/
ebookultra.com
Local Networks and the Internet From Protocols to

Interconnection 1st Edition Laurent Toutain
https://ebookultra.com/download/local-networks-and-the-internet-from-
protocols-to-interconnection-1st-edition-laurent-toutain/
ebookultra.com
VSAT networks 2nd ed Edition Maral
https://ebookultra.com/download/vsat-networks-2nd-ed-edition-maral/
ebookultra.com
Security for wireless ad hoc networks 1st Edition Farooq

Anjum
https://ebookultra.com/download/security-for-wireless-ad-hoc-
networks-1st-edition-farooq-anjum/
ebookultra.com
IPSec the new security standart for the internet intranets
and virtual private networks 2nd ed Edition Doraswamy
Digital Instant Download
Author(s): Doraswamy, Naganand; Harkins, Dan
ISBN(s): 9780130461896, 013046189X
Edition: 2nd ed
File Details: PDF, 1.90 MB
Year: 2003
Language: english
IPSec
The New Security
Standard for the Internet,
Intranets, and Virtual
Private Networks
Second Edition
ISBN 013046189-X
94499
9 780130 461896
This page intentionally left blank
IPSec
The New Security Standard
for the Internet, Intranets, and
Virtual Private Networks
Second Edition
Naganand Doraswamy
Dan Harkins
Prentice Hall PTR, Upper Saddle River, NJ 07458

www.phptr.com
Library of Congress Cataloging-in-Publication Date
Doraswamy, Naganand.
IPSec: the new security standard for the Internet, intranets,
and virtual private networks, Second Edition / Naganand Doraswamy, Dan Harkins.
p. cm. -- (Prentice-Hall PTR Web infrastructure series)
Includes bibliographical references and index.
ISBN 0-13-046189-X
1. IPSec (Computer network protocol) 2. Internet (Computer
networks) -- Security measures. 3. Intranets (Computer networks) --
Security measures. 4. Extranets (Computer networks) -- Security measures.
I. Harkins, Dan. II. Title. III. Series.
TK5105.567 .D67 2002
005.8 -- dc21 02-23833
CIP
Editorial/Production Supervision: Mary Sudul
Page Layout: FASTpages
Acquisitions Editor: Mary Franz
Editorial Assistant: Noreen Regina
Manufacturing manager: Alexis Heydt-Long
Art Director: Gail Cocker-Bogusz
Series Design: Meg VanArsdale
Cover Design: Anthony Gemmellaro
Cover Design Direction: Jerry Votta
© 2003 by Prentice Hall PTR

Prentice-Hall, Inc.
Upper Saddle River, NJ 07458
Prentice Hall books are widely used by corporations and government agencies for training,
marketing, and resale.
The publisher offers discounts on this book when ordered in bulk quantities. For more information,
contact Corporate Sales Department, phone: 800-382-3419; fax: 201-236-7141; email: [email protected]
Or write Corporate Sales Department, Prentice Hall PTR, One Lake Street, Upper Saddle River, NJ 07458.
Product and company names mentioned herein are the trademarks or registered trademarks
of their respective owners.
All rights reserved. No part of this book may be

reproduced, in any form or by any means, without
permission in writing from the publisher.
Printed in the United States of America
10 9 8 7 6 5 4 3 2 1
ISBN 0-13-046189-X
Pearson Education LTD.

Pearson Education Australia PTY, Limited
Pearson Education Singapore, Pte. Ltd.
Pearson Education North Asia Ltd.
Pearson Education Canada, Ltd.
Pearson Educación de Mexico, S.A. de C.V.
Pearson Education — Japan
Pearson Education Malaysia, Pte. Ltd.
To Amma, Appa, Roopa, Ananth, and Anu.
Naganand
To Marina, the giant on whose shoulders I stand.

Dan
Chapter
Table of Contents
Preface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi
Part One: Overview
1 Cryptographic History and Techniques . . . . . . . . 1

Secrets in History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Rise of the Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Internet Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Cryptographic Building Blocks . . . . . . . . . . . . . . . . . . . . . . 6
Crypto Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
More Information. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
vii
viii IPSec
2 TCP/IP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

Introduction to TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Addressing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Domain Name System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Security—at What Level?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3 IP Security Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

The Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Encapsulating Security Payload (ESP). . . . . . . . . . . . . . . . . . . . . . . . . . 50
Authentication Header (AH) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Internet Key Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Part Two: Detailed Analysis
4 IPSec Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59

The IPSec Roadmap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
IPSec Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
IPSec Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
Security Associations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
IPSec Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Fragmentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
ICMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
5 The Encapsulating Security Payload (ESP) . . . . . . . . . . . . . .83

The ESP Header. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
ESP Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
ESP Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Table of Contents ix
6 The Authentication Header (AH) . . . . . . . . . . . . . . . . . . . . . 93

The AH Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
AH Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
AH Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
7 The Internet Key Exchange . . . . . . . . . . . . . . . . . . . . . . . . . 101

ISAKMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
IKE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
The IPSec DOI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Part Three: Deployment Issues
8 Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
Policy Definition Requirement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Policy Representation and Distribution . . . . . . . . . . . . . . . . . . . . . . . 135
Policy Management System. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Deployment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Setting Up the Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
9 IPSec Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

Implementation Architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
IPSec Protocol Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Fragmentation and PMTU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
ICMP Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
10 IP Security in Action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

End-to-End Security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
x IPSec
11 Deployment Scenarios
(Using IPsec to Secure the Network) . . . . . . . . . . . . . . . . . . .177
Site-to-Site Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
Remote Access Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Four Office Company Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
Multiple Company Extranet Example . . . . . . . . . . . . . . . . . . . . . . . . 195
Outsourcing Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
12 IPSec Futures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217

Compression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
Multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Key Recovery. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Bibliography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .253
Chapter
Preface
The Internet connects millions of people around the world

and allows for immediate communication and access to a
seemingly limitless amount of information. Data, video, and
voice, almost every single type of communication, travels
across the Internet. Some of this communication is private.
The language of the Internet is IP, the Internet Proto-
col. Everything can, and does, travel over IP. One thing IP
does not provide, though, is security. IP packets can be
forged, modified, and inspected en route. IPSec is a suite of
protocols that seamlessly integrate security into IP and pro-
vide data source authentication, data integrity, confidential-
ity, and protection against replay attacks.
With IPSec, the power of the Internet can be exploited
to its fullest potential.
• Communication is the lifeblood of business. With-
out a guarantee that a customer’s order is authentic,
it is difficult to bill for a service. Without a guarantee
xi
xii IPSec
that confidential information will remain confidential, it is impos-

sible for businesses to grow and partnerships to be formed.
• Unless there is a guarantee that records and information can
remain confidential, the health care industry cannot utilize the
Internet to expand its services and cut its costs.
• Personal services, such as home banking, securities trading, and
insurance can be greatly simplified and expanded if these transac-
tions can be done securely.
The growth of the Internet is truly dependent on security, and the
only technique for Internet security that works with all forms of Internet
traffic is IPSec. IPSec runs over the current version of IP, IPv4, and also
the next generation of IP, IPv6. In addition, IPSec can protect any proto-
col that runs on top of IP such as TCP, UDP, and ICMP. IPSec is truly
the most extensible and complete network security solution.
IPSec enables end-to-end security so that every single piece of infor-
mation sent to or from a computer can be secured. It can also be
deployed inside a network to form Virtual Private Networks (VPNs)
where two distinct and disparate networks become one by connecting
them with a tunnel secured by IPSec.
This book discusses the architecture, design, implementation, and use
of IPSec. Each of the protocols in the suite commonly referred to as
“IPSec” (the Authentication Header, Encapsulating Security Payload, and
Internet Key Exchange) is examined in detail. Common deployments of
IPSec are discussed and future work on problem areas is identified.
This book is intended for an audience with an interest in network
security as well as those who will be implementing secure solutions
using IPSec, including building VPNs and e-commerce, and providing
end-to-end security. Cryptography and networking basics are discussed
in early chapters for those who are neither cryptography nor network-
ing professionals.
Organization
This book is split into three parts: overview, detailed analysis, and
implementation and deployment issues.
Part One is composed of the first three chapters. Chapter 1 dis-
cusses the basic cryptographic building blocks upon which IPSec is
built. Symmetric and public-key cryptography and their use for both
encryption and authentication are explained. Chapter 2 discusses the
Preface xiii
basics of TCP/IP and the advantages and disadvantages of implement-

ing security at various layers in the TCP/IP protocol stack. Chapter 3 is
an overview of IPSec. The IPSec architecture is discussed and each of
the protocols—AH, ESP, and IKE—and their interrelationship is
touched upon.
Part Two consists of Chapters 4 through 7. Chapter 4 is a detailed
discussion of the IPSec architecture. The basic concepts of IPSec, the dif-
ferent modes, selectors, Security Associations, and security policy, are dis-
cussed. Chapters 5 and 6 discuss in detail the two protocols used to
protect IP, the Encapsulating Security Payload and the Authentication
Header, respectively. Construction and placement of protocol headers are
discussed as are input and output processing rules. Chapter 7 is an in-
depth discussion of the Internet Key Exchange. The different phases of
negotiation, the different exchanges, the various authentication methods,
and all the negotiable options are explained.
Part Three is made up of Chapters 8 through 12. Chapter 8 is a dis-
cussion of policy and its implication on IPSec. An architecture to support
IPSec policy and a policy module is presented. Chapter 9 presents the
issues surrounding the implementation of IPSec in a TCP/IP stack, in a
platform-independent manner. Chapter 10 discusses different IPSec
deployments: end-to-end security, VPNs, and the “road warrior” situa-
tion. Chapter 11 discusses how IPSec is deployed to protect a network.
Chapter 12 discusses future work items for the IPSec community. These
include integrating network layer compression with IPSec, extending
IPSec to multicast traffic, issues associated with key recovery, IPSec inter-
action with the Layer Two Tunneling Protocol (L2TP), and public-key
infrastructures.
Acknowledgments
We would like to thank our editor, Mary Franz, for helping us
through the entire process and for giving us this opportunity.
We would like to thank our reviewers: Scott Kelly, Andrew Krywa-
niuk, and Tim Jenkins. Their comments and suggestions have made this
book more readable and complete.
IPSec is the result of the IPSec Working Group of the IETF and we
would therefore like to thank Ran Atkinson, Ashar Aziz, Steve Bellovin,
Matt Blaze, John Ioannidis, Phil Karn, Steve Kent, Hugo Krawczyk,
Hilarie Orman, and Bill Simpson, whose contributions to the develop-
ment of these protocols have been invaluable.
xiv IPSec
Network Diagram Key

In the network diagram figures, a dotted line indicates a logical con-
nection (i.e., the two devices are not physically attached), a solid line indi-
cates a physical connection (i.e., there is a physical link between the two
devices and they are directly attached, and a pipe indicates a secure con-
nection between two devices.
PART ONE: OVERVIEW
Chapter
CHAPTER
Cryptographic
History and
Techniques
Since the beginning of time people have kept secrets. Probably

from the beginning of your memory you have done the same. It’s a
natural human desire. People have always had, and always will
have, some secrets that they either want to keep to themselves or
share with only a privileged few. The easiest secret to keep is one
that you will tell to no one. The more people you wish to share a
secret with, and the more public the forum in which you will
communicate your secret, the harder it is to keep your secret a
secret.
1
2 IPSec
Secrets in History
In antiquity it was easier to keep a secret because the ability to read
was a privilege known to a select few. The number of people who could
read a written secret was very limited. Merely by restricting access to the
written word, a secret could be retained. The security of such a scheme is
obviously limited.
As the ability to read became more prevalent the need to keep secrets
from those with the ability to read became more necessary. This need
manifested itself most notably in war. While those doing the actual fight-
ing were most likely illiterate, the ones who waged the war were not and
each side, no doubt, employed soldiers who could read and speak the lan-
guage of their enemies. Military communications in the battlefield were
probably the genesis of cryptography.
Early attempts at cryptography were simplistic. It is rumored that
Caesar used a rudimentary cipher to obfuscate his messages. Those with
whom he wished to share a secret were told how to reconstruct the origi-
nal message. This cipher, The Caesar Cipher, was a simple substitution
cipher: Every letter in the alphabet was replaced by the letter three places
away modulus the length of the alphabet. In other words, the letter A
became D, B became E, X became A, Y became B, Z became C, etc. It’s a
simple cipher to decode but li brx grq’w nqrz krz lw’v qrw reylrxv!—in
other words, if you don’t know how it’s not obvious! Another variant of
this is the ROT-13 cipher. Each letter is rotated 13 places.
Simple substitution ciphers are not very good since each occurrence
of a letter is replaced by the same letter. Analysis of a language will result
in the probability of letters following other letters—notice the occurrence
of the letter r in the above “ciphertext.” It’s probably a vowel—and this
information can be used to determine the substitution offset.
Confidentiality was not the only concern in antiquity. Authentica-
tion was another. When few could write, a signature would probably suf-
fice. As the knowledge of reading and writing became more prevalent,
wax seals bearing the unique mark of the “signer” were used to authenti-
cate letters, documents, and edicts. The rise of industry brought the capa-
bility to make such a seal to more people and the seal ceased being
unique. In effect, it became trivial to forge a seal.
Jumping to modern times, ciphers, and their cryptanalysis, have a
very notable place in history. Prior to the United States’ involvement in
World War II, the United States Army was able to crack a code used by
the Japanese government. This capability allowed the United States to be
1 Cryptographic History and Techniques 3
forewarned about the attack on Pearl Harbor. This knowledge was not
put to good use, though, and the United States suffered great losses as a
result of this “surprise” attack. During the same war the German govern-
ment used an encryption device called Enigma to encipher its communi-
cations. This device used a set of rotors (Enigma machines had 5 but only
3 were used for any given communication) that contained the letters of
the alphabet and could be independently set. Each letter of input text was
transformed into a seemingly random character of output. Seemingly
random, because the permutations of transposition were astronomical.
The cracking of the Enigma machine was an incredible feat started by the
Polish and finished by the British and the story behind the cryptanalysis
of Enigma is large enough to be its own book. In fact, several books have
been written on the subject.
Communication technology has grown steadily from the days of Cae-
sar to modern times. From papyrus paper to telegram, telex, telephone,
FAX, and e-mail, the ability to communicate has been made easier and
more ubiquitous. At the same time, the ability to keep such communica-
tions secret has remained something of a black art known only to a few—
generally governments and military organizations.
The security of each method of communication is dependent on the
medium over which the communication is made. The more open the
medium the greater the possibility of the message falling into the hands
of those for whom it was not intended. Modern day methods of commu-
nication are open and public. A telephone call or FAX transmission goes
across a shared, public, circuit-switched phone network. An e-mail is
transmitted across a shared, public, packet-switched network. An entity
in the network between communications endpoints could easily intercept
the message. Retention of a secret transmitted using modern methods of
communication requires some sort of cryptographic technique to prevent
any of these eavesdroppers from learning the secret.
At its base modern cryptography relies on a secret known by the
intended recipient(s) of the message. Typically the method of encipher-
ment, the algorithm, is known but the “key” to unlock the secret is not.
There are certain cryptosystems that are based upon a secret algorithm—
so-called “security through obscurity”—but typically people are reluctant
to use an algorithm which is not open to public scrutiny (the debate over
the Clipper Chip is a prime example of this).
The problem, then, is to ensure the secrecy of the key—that it is
obtainable only by those to whom it should be known. Modern cryptog-
raphy provides for this.
4 IPSec
Rise of the Internet

The popularity of the Internet has given rise to many claims on it.
Everybody from browser companies to workstation vendors to router
vendors lays claim to being the genesis of or the backbone of the Internet.
Most agree, though, that the modern Internet was born in the late ‘60s
under the name ARPANET. The ARPANET was a research tool for those
doing work for the United States government under the direction of the
Advanced Research Projects Agency (ARPA). The original contract was
awarded to BBN of Cambridge, Massachusetts.
ARPANET traffic consisted of communications between universities
and military and government laboratories. Researchers at disparate loca-
tions were able to exchange files and electronic messages with each other
via ARPANET. As the network grew it split into two: MILNET, which
was used for military use, and ARPANET (it retained the name), which
continued to be used for experimental research. In the early ’80s, a stan-
dard for ARPANET communications protocols, actually a suite of proto-
cols, was specified. This was termed the TCP/IP protocol suite which
eventually became just TCP/IP. It is the base of almost all network traffic
today.
In 1987 the National Science Foundation (NSF) funded a network
to connect the six supercomputer centers that were spread out nation-
wide. This network, called NSFnet, spanned the United States from San
Diego, California on the west coast to Princeton, New Jersey on the east
coast. The original NSFnet was over 56K leased lines, fast in those days
but slow by today’s standards, so NSF also solicited proposals to build a
new high-speed network. The winning proposal was submitted by MCI,
IBM, and MERIT (an organization which came out of a network at the
University of Michigan), and the backbone of what we call the Internet
was built.
Over the course of the ’90s, the backbone of this network grew by the
addition of different long-haul carriers providing leased line connections
and local Internet Service Providers (ISPs) providing local access and
short-haul connections. Today, through mutually beneficial service agree-
ments, networks are connected with each side agreeing to carry the other’s
traffic on the condition that its traffic is also carried. This has created a
worldwide network in which, for the price of the initial connection,
access is provided to a virtually unlimited amount of resources spanning
the entire globe.
Internet Security
The Internet is an ethereal thing. It can appear quite different when
looked at for different purposes. For the purposes of secret-sharing, imag-
ine the Internet as a huge town hall which is packed with people.
Attempting to communicate a secret in such an environment is difficult,
and the chance of others overhearing a conversation between two people
increases as the distance between those two people increases. Since the
Internet is truly global, no secret of any value can be communicated on it
without the help of cryptography.
As the Internet grows (almost exponentially in recent years), its utility
increases. Messages can be sent cheaply and reliably and communication
is the lifeblood of business. For a company to engage in electronic com-
merce—the sale of goods and services over the Internet—security is a
must. Sensitive information such as credit card numbers must be pro-
tected and a business must be able to authenticate each and every sale. In
addition, businesses can use the Internet to inexpensively connect dispar-
ate offices. Interoffice electronic mail and even phone calls can be routed
over the Internet. Because sensitive corporate information would most
likely be transmitted over these links, the need for security should be
obvious.
But, Internet security concerns are not solely business’. Each and
every person has a need and a right to privacy, and when someone goes
on-line, the expectation of privacy does not disappear. As consumer elec-
tronics become more and more Internet-aware, the need for security
grows. When our phones and VCRs become accessible over the Internet,
we won’t want pranksters or hackers to steal our phone line or randomly
turn our VCRs on and off.
Privacy is not just confidentiality, though; it also includes anonymity.
People must be comfortable in cyberspace and an often ignored compo-
nent of that is the ability for an individual to remain anonymous. What
we read, where we go, to whom we talk, for whom we vote, and what we
buy is not information that most people traditionally publicize, and if
people are required to disclose information in cyberspace that they would
not normally disclose in real life, they will be reluctant to engage in Inter-
net activity.
Thankfully, cryptography can address these concerns.
6 IPSec
Cryptographic Building Blocks

Every system that is established can be hacked or attacked. Each dif-
ferent hack or attack represents a distinct threat against the system. For
every threat a threat analysis is done to determine the viability of that
threat and what damage can be done if that threat is acted upon. Depend-
ing on the threat analysis countermeasures are taken such that the cost of
launching the attack is greater than the expected gain from the attack.
Cryptographic tools represent such countermeasures. There is no sin-
gle cryptographic tool. There are various techniques for encrypting mes-
sages, for securely exchanging keys, for maintaining the integrity of
messages, and for guaranteeing authenticity of a message. These tools can
be thought of as building blocks to construct protection against attack.
A single cryptographic building block solves a particular problem—
how to authenticate bulk data, how to establish a shared secret—and they
can be combined to build a cryptosystem to protect against threats. The
cryptosystem must be stronger than the threat against it.
Generally, the strength of a cryptosystem is measured in its complex-
ity. If 232 separate operations are required to break a cryptosystem then
the complexity of a particular system is 232. That’s a lot of operations, but
if each operation can be performed by a modern computer in hundredths
or thousandths of a second, the system might not be strong enough to
protect against the threat. Because of this the term computationally secure
is used to express the security of a modern cryptosystem.
When building a cryptosystem it is necessary to ensure that the com-
ponent building blocks are used properly and together maintain the nec-
essary strength. For instance, if the strength of the building block used to
establish a shared secret is 290 but the strength of the building block used
to encrypt the data is only 240 the cryptosystem would be 240, and that is
not computationally secure using modern computers.
One-Way Functions and Trap Doors
A good portion of public key cryptography relies upon a foundation
of one-way functions and trapdoors. A one-way function is something
that is easy to compute in one direction but difficult, bordering on
impossible, to compute in the other direction. A trapdoor is a way to
sneak back, in effect a way to cheat and return using a secret passage.
For a one-way function to be useful in cryptography it must exhibit
its one way-ness with any input. For example, in a finite field it is easy to
compute the product of numbers but difficult to factor that product.
Another example is the Discrete Logarithm Problem: with a large prime,

p, and a generator, g, for a particular value y, find x where
gx = y mod p
Modular exponentiation is easy, but doing a discrete logarithm to recover

the exponent is hard. For any class of numbers—odd numbers,
palidrome numbers, numbers divisible by 47—the problem of solving
the discrete logarithm is still very hard.
There are no mathematical proofs of one-way functions but certain
functions seem to have the properties that a one-way function would
have and are generally referred to as such. There may be ways to factor
numbers that are just as fast and easy as producing the product but no
one has discovered it yet. Because of that we can put our knowledge on
the difficulty in factoring to good use.
Trapdoor functions are a bit harder to explain. Modern cryptographic
algorithms use them but it’s hard to point to a particular one and say,
“that’s it!” An example of a trapdoor function is a tree with many
branches. To get from a leaf to the trunk is straightforward and requires
no choices. To get from the trunk back out to a particular leaf requires
choosing a branch, then a subbranch, then another subbranch, et cetera,
and finally choosing the leaf. The trapdoor would be a description of
which branch to take.
Selected
leaf
Trunk
Figure 1.1 A Trap Door Function Tree

8 IPSec
The difficulty in finding a particular leaf depends on the depth of the

tree. The tree in Figure 1.1 is of depth 5 and there are therefore 25, or 32,
leaves. The trapdoor to go from the trunk to the indicated leaf would be
the “key” of LEFT-RIGHT-RIGHT-LEFT-RIGHT. It should be noted
that this “trapdoor function” is wholly unsuitable for any kind of crypto-
graphic purpose. But to illustrate the concept of a trapdoor, it is adequate.
One-Way Hash Functions
One-way hash functions are used in modern cryptosystems for
authentication and integrity purposes. A one-way hash function is differ-
ent than the concept of a one-way function just described. Hash func-
tions take a variable-sized message as input, compress it, and produce a
fixed-sized digest. The output of a hash function will be identical for
identical input. Since the output is fixed for any length input it should be
obvious that there will exist two distinct inputs, X and Y, for a hash algo-
rithm H, such that H(X) equals H(Y). Such an occurrence is called a col-
lision. One-way hash functions are designed such that finding
collisions—that is, finding two random inputs that will produce identical
hash digests—is difficult.
Popular hash functions in use today are: MD5 (Message Digest 5),
SHA (the Secure Hash Algorithm), and RIPEMD. They all produce a
different-sized digest and have different speed and collision-resistant
properties, but are all used extensively today.
Use of one-way functions, which are based on a trapdoor, are much
more computationally intensive than using one-way hash functions.
Guaranteeing the integrity of a message using a one-way function with a
trapdoor—such as a digital signature scheme—takes considerably more
time than guaranteeing the integrity of the message using a hash func-
tion. There are situations, though, in which it is not possible to use a one-
way hash function. In later chapters you will see how IPSec and IKE use
both techniques.
Another technique used quite a bit is the simple exclusive-or (XOR)
function. This is neither a one-way function, nor a trapdoor function,
but is, nonetheless, a useful tool in building cryptographic systems.
Remember from early math classes that the XOR of two zeros is zero, the
XOR of two ones is zero and the XOR of a zero and a one (or a one and a
zero) is one. XOR has a very important feature that it is commutative.
Taking any data and XORing it with a key of the same size (one bit, one
byte, or more) will produce an output that can be XORed with the key
again to recover the original data. It is the most simplistic “encryption”

algorithm. Note, however, that knowing either input and the output it is
possible to deduce the other input. This is not generally a characteristic of
a real encryption algorithm and illustrates the weakness of using XOR for
such a purpose.
Ciphers
Data confidentiality is provided by encryption algorithms which con-
vert a message (plaintext) into gibberish (ciphertext) and back again.
Some encryption algorithms are symmetric—the ability to encrypt
implies the ability to decrypt—while some are asymmetric—without the
use of a trapdoor it is not possible to decrypt what has been encrypted.
Asymmetric algorithms are treated not as two separate functions (one for
encryption and one for decryption) but as a single algorithm. So, regard-
less of the “symmetry” of a particular algorithm, encryption algorithms
are commutative.
plaintext = Decrypt(Encrypt(plaintext))
This should be most obvious because any algorithm that perma-

nently scrambled its input would be secure but of little use.
Symmetric Ciphers
Symmetric ciphers use a single key to do both encryption and
decryption. There are two types of symmetric ciphers, block ciphers and
stream ciphers. Block ciphers, such as AES, CAST, and Blowfish, operate
on data one block at a time, with the size of the block depending on the
algorithm (AES has a 128-bit block size while both CAST and Blowfish
have a 64-bit block size). Each block operation is treated as an atomic act.
Stream ciphers, such as RC4, on the other hand operate on data one bit
(or one byte) at a time. Appropriately seeded with a key, they will pro-
duce a stream of bits which can be XORed with the input. The encryptor
and the decryptor must be syncronized to ensure that the same bit in the
stream used to encrypt a particular bit of plaintext is also used to decrypt
the corresponding bit of ciphertext. If the two ever get out of syncroniza-
tion the plaintext will not be able to be recovered. It is this syncronization
problem that makes stream ciphers inappropriate for use with IPSec. If a
packet is dropped using a block cipher that will not affect the processing
of subsequent packets, but if a packet is dropped using a stream cipher all
10 IPSec
subsequent packets will be affected until the two side re-synchronize

somehow.
Both types of symmetric ciphers are ideally suited for bulk encryp-
tion. Since block ciphers are used exclusively in IPSec, the reader is
referred to the literature for an in-depth description of stream ciphers.
Block ciphers process data by first dividing it up into equal sized
chunks. The size of each chunk is determined by the block size of the
cipher. Since there is no guarantee that the length of the input is a multi-
ple of the block size of a block cipher, it may be necessary to pad the
input. If the block size is 64 bits and the last block of input is only 48
bits, it may be necessary to add 16 bits of padding to the block prior to
performing the encryption (or decryption) operation.
The basic way to use a block cipher is in Electronic Code Book
(ECB) mode. Each block of plaintext encrypts to a block of ciphertext.
This causes problems though since the same block of plaintext will
encrypt, with the same key, into the same block of ciphertext. Therefore
it is possible to build a code book of all possible ciphertexts (using all pos-
sible keys) for a known plaintext. If we know that an IP datagram was
encrypted, we know that the first 20 bytes of ciphertext represent the IP
header and that certain fields of an IP header are predictable. An attacker
can use that knowledge, with a code book, to determine the key.
To foil the code book attack against a block cipher it is necessary to
use the block cipher in a feedback mode. A feedback mode chains
blocks together by feeding the results of prior operations into the cur-
rent operation.
Cipher Block Chaining (CBC) (Figure 1.2) mode takes the previous
block of ciphertext and XORs it with the next block of plaintext prior to
encryption. There is no “previous block” for the first block so this mode
is jumpstarted by XORing the first block with something called an Ini-
tialization Vector (IV). The length of the IV must be the same as the
block size of the cipher to ensure the entire first block is processed. The
IV must have strong pseudo-random properties to ensure that identical
plaintext will not produce identical ciphertext. Decryption is the opposite
of encryption: Each block is decrypted and XORed with the previous
block prior to decryption. The first block is decrypted and XORed with
the IV. All ciphers currently defined for use in IPSec are block ciphers
operating in CBC mode.
Plaintext
IV
Encryption E E E E
Ciphertext
CBC encryption
Ciphertext
Decryption D D D D
IV
Plaintext
CBC decryption
Figure 1.2 Cipher Block Chaining Mode
Other popular modes are Cipher Feedback Mode (CFB), where the
previous ciphertext block is encrypted and XORed with the current
plaintext block (the first block of plaintext is merely XORed with the IV),
and Output Feedback Mode (OFB), which maintains a cipher state that
is repeatedly encrypted and XORed with blocks of plaintext to produce
ciphertext (an IV represents the initial cipher state).
Asymmetric Ciphers
Asymmetric algorithms are also known as public key algorithms.
There are two keys, one public and one private. One key does the encryp-
tion, the other the decryption, and given a public key it is computation-
ally impossible to determine the private key (as defined above, we can say
that good public key algorithms are computationally secure). Good public
key algorithms are based on one-way functions.
12 IPSec
Public key cryptography is generally held to have been invented by

Whitfield Diffie and Martin Hellman in their paper “New Directions
in Cryptography,” published in IEEE Transactions on Information
Theory in 1976. Recently the Communications-Electronics Security
Group (CESG) of the British government—the UK version of the
United States’ NSA— declassified some papers that showed that their
cryptanalysts had actually invented the concept six years earlier. In
1970, James Ellis wrote an internal CESG report entitled “The Possibil-
ity of Secure Non-Secret Digital Encryption” which discussed an exist-
ence theorem, while Clifford Cocks and Malcolm Williamson wrote
papers describing practical schemes that closely resemble the RSA and
Diffie-Hellman schemes, respectively. Regardless, publication of the
Diffie-Hellman paper was a seminal event whose importance is under-
scored by the nearly 20-year delay in release of the classified British
papers. It is not beyond the realm of possibility that if “New Directions
in Cryptography” had not been published, this knowledge would still
be a classified secret known only to a few.
RSA The most popular public key algorithm is RSA, named after its
inventors Ron Rivest, Adi Shamir, and Leonard Adleman. The security of
RSA is based on the difficulty in factoring the product of two very large
prime numbers. This is a one-way function: it is easy to compute the
product of two large prime numbers but extremely difficult to factor the
product into the original prime numbers. One of the features of RSA is
that either key can be used to encrypt data that the other key can decrypt.
This means that anyone can encrypt a message in your public key that
you alone can decrypt. Also, you can encrypt anything with your private
key that anyone with your public key can decrypt. You’re probably think-
ing, what’s the point then? But this concept is very important in non-
repudiation and digital signatures (which will be discussed shortly).
A drawback of RSA is that it is quite slow and can operate only on
data up to the size of the modulus of its key. A 1024-bit RSA public key
can only encrypt data that is less than or equal to that size (actually, it’s
1013 bits because the definition on how to encrypt using RSA requires an
encoding that consumes 11 bits). While this is a restriction similar to a
symmetric block cipher, the speed of RSA makes it unsuitable for bulk
data encryption. This does not mean that RSA is not useful. On the con-
trary, it is a de facto standard for such important techniques as key
exchange and digital signature.
El-Gamal Another public key cryptosystem which is suitable for

encryption is El-Gamal, named after its inventor, Taher El-Gamal. The
El-Gamal cryptosystem is based on the Discrete Logarithm Problem. The
main drawback of El-Gamal is that the ciphertext is twice the size of the
plaintext. Given our already saturated networks, this is a large drawback.
El-Gamal is quite similar to the Diffie-Hellman key exchange, which
we’ll discuss in detail shortly.
Authentication and Integrity
Confidentiality is necessary to keep a secret, but without authentica-
tion you have no way of knowing that the person with whom you share
the secret is whom she claims to be. And with no confidence in the integ-
rity of a received message, you don’t know if it was the same message
actually sent..
Authentication
Public key cryptography can be used for authentication purposes by
constructing a so-called digital signature which has properties similar to a
traditional signature. A traditional handwritten signature is difficult to
forge, and is therefore difficult to repudiate. But because a handwritten
signature is just more writing on a document, it is possible (although also
difficult given a well-written document) for unscrupulous people to add
additional text to an already signed document, giving the impression that
the signer agrees to or acknowledges that text.
The Internet is a largely anonymous place and digital information
can live a long time, so there are other properties we need for digital sig-
natures in addition to those that a traditional handwritten signature
affords.
A digital signature must be difficult to forge and therefore difficult to
repudiate, just like a traditional signature. In addition, it must convey
message integrity and must be unique. We want to prevent additional
text from being added to a digitally signed file and we also want to pre-
vent a signature from being removed from an authentic, signed document
and added to other documents. These properties can all be met using
public key cryptography.
It is easiest to envision digital signature as encryption and verification
of a digital signature as decryption. In fact, that is the way an RSA signa-
ture works. But another public key algorithm, in fact a standard for digi-
tal signatures, aptly named the Digital Signature Standard (DSS), does
14 IPSec
not operate in that manner. The difference will be explained shortly, but
for purposes of illustration it is encryption and decryption.
What the private key encrypts the public key decrypts. Provided the
private key from a public/private key cryptosystem is kept secret, it can be
used to construct digital signatures. By encrypting a document with a pri-
vate key, anybody in possession of the corresponding public key can
decrypt the document. Of course an encrypted document is hardly a sig-
nature and verification would just entail reconstruction of something that
looks good out of the encrypted gibberish. It would also require decryp-
tion, and implicit signature verification, every time the document merely
needs to be read.
A digital signature is therefore not a private-key encryption of the
entire document. Digital signature techniques use one-way hash func-
tions to reduce a document down to a digest. It is that digest that is
encrypted. Remember that a hash function will produce the same digest
every time it is given identical input and that the input can be of arbitrary
length. Provided the hash function has strong collision-resistant proper-
ties, we can be assured that the signature is unique to the document.
The encrypted digest, the digital signature, can then be appended to
an original document. Verification of the signature entails running the
original document through the identical hash function to product a tem-
porary digest and decrypting the signature to recover the original digest.
If the two digests are equal, the signature is valid. This technique has all
the properties we need:
1. difficult to forge: only the holder of the private key can generate
the signature.
2. nonrepudiable: a signed document cannot be repudiated later
due to extreme difficulty in forging.
3. unalterable: once signed, a document cannot be modified.
4. nontransferable: the signature cannot be removed and attached
to another document.
It is also possible to have multiple signatures, produced from differ-
ent private keys, on a single document. Each signature is generated in the
same fashion by encrypting a digest of the document to be signed. These
encrypted digests are merely appended, one after the other, on the end of
the document.
RSA Due to its unique nature—what one key encrypts the other
decrypts—RSA is well suited for digital signatures as well as for encryp-
tion. You just use a different key to do the encryption! The technique
described previously is exactly what happens when using RSA with digital
signatures.
There are no requirements to use any particular hash algorithm when
using RSA signatures.
DSA The digital signature algorithm is similar to the El-Gamal pub-

lic key scheme. Both are based on the discrete logarithm problem.
As mentioned, the Digital Signature Algorithm does not actually do
encryption for signature generation and decryption for signature verifica-
tion (although it does have a public and private key). Instead, the private
key is used to generate two 160-bit values which represent the signature,
and verification is a mathematical demonstration, using the public key,
that those two values could only have been generated by the private key
and the document that was signed. There is no real “decryption”.
DSA requires use of SHA as a hash function for signatures. SHA is
the algorithm defined in the U.S. government Federal Information Pro-
cessing Standard (FIPS) for the Secure Hash Standard and was therefore
selected to use for another FIPS, the Digital Signature Standard, of which
DSA is the algorithm.
Message Integrity
A digital signature provides integrity on the signed document. Any
modification to the document would be detected by checking the signa-
ture. One drawback of digital signatures is that they are slow and another
is that the entire message must be known prior to signature generation.
There is no efficient way to provide message integrity of an ongoing data
stream using digital signatures.
Just as there are symmetric and asymmetric ciphers, there are sym-
metric and asymmetric methods of guaranteeing message integrity. Simi-
lar to symmetric ciphers, where one single key is used for both encryption
and decryption, symmetric message authentication codes (MACs) use a
single key for generating and verifying the authentication information.
(MACs are sometimes erroneously referred to as signatures—they’re not.)
Hash functions are used as MACs just as they are in digital signatures.
Since the input to a hash function can be of any length, all one needs to do
to generate a MAC is hash a shared secret key along with the message. The
16 IPSec
resulting digest is attached to the message, and verification of the MAC

entails hashing the shared secret key with the message to produce a tempo-
rary digest and comparing that temporary digest with the digest attached
to the message. This technique is referred to as keyed hashing. It’s impor-
tant to do keyed hashing because just performing a hash on some data
does not really provide any authentication. Anybody could modify the
data and merely run the hash algorithm over the modified data. A hash
function alone is like a checksum, a keyed hash function is a MAC.
Keyed hashing can be used to provide message authentication to a
stream of data by dividing the stream into easily digestible chunks and
computing a MAC on each chunk. Those MACs then become part of the
stream and are used to verify the integrity of the stream as it is received.
Another benefit of keyed hashing is that generation of a hash digest is
much faster than generation of a digital signature.
A special kind of keyed hash is called an HMAC, and was designed
by Hugo Krawczyk, Ran Canetti, and Mihir Bellare. The HMAC specifi-
cation is in RFC2104 and can be utilized with any existing hash function,
so SHA can become HMAC-SHA and MD5 becomes HMAC-MD5.
The HMAC construction is cryptographically stronger than the underly-
ing hashing function. There has recently been a demonstrated collision
attack against MD5 (where it is possible to find two different inputs
which will produce the same digest), but HMAC-MD5 is not susceptible
to this attack.
An HMAC is also a keyed hash but is actually a keyed hash inside a
keyed hash. It uses two constant pad values—an inner pad and an outer
pad—to modify the keys to the hashes. The HMAC based on hash algo-
rithm H of message M using key K is defined as
HMAC (K, M) = H(K XOR opad, H(K XOR ipad, M))
Where the ipad is a 64-element array of the value 0x36 and the opad is a
64-element array of the value 0x5c.
All message authentication done in IPSec uses HMACs.
Key Exchanges
Symmetric ciphers and symmetric MACs both require a shared key.
The security of the encryption and authentication techniques could be
completely undermined by an insecure key exchange.
Diffie-Hellman
The Diffie-Hellman key exchange is the first public key cryptosystem
and was the one described in the aforementioned paper “New Directions
in Cryptography” by Whitfield Diffie and Martin Hellman. The Diffie-
Hellman key exchange is based on the Discrete Logarithm Problem
(notice how often this one-way function is used).
This key exchange is extremely important. Using the Diffie-Hellman
exchange, a nonsecret, untrusted communications channel (like the
Internet) can be used to securely establish a shared secret among the par-
ties of the exchange. It is because of the Diffie-Hellman key exchange that
symmetric ciphers and symmetric message integrity schemes (which both
require a shared key) can be used in a scalable manner.
The usual players in describing modern cryptography are Alice and
Bob and they can be used to illustrate the Diffie-Hellman exchange. All
participants in a Diffie-Hellman exchange must first agree on a group that
defines which prime, p, and generator, g, will be used. A Diffie-Hellman
exchange is two-part. In the first part each side, Alice and Bob, choose a
random private number (indicated by the lowercase initial of the party)
and exponentiate in the group to produce a public value (uppercase ini-
tial of the party):
Alice Bob
A= ga mod p B = gb mod p
They exchange their public values, Alice gives A to Bob and Bob gives B
to Alice, and they exponentiate again, using the other party’s public value
as the generator, to generate shared secret.
Alice Bob
Ba mod p = gab mod p = Ab mod p
Notice that A and B can be exchanged over an insecure network with-

out lessening the security of the scheme. g and p do not even need to be
kept secret. An eavesdropper (she’s usually referred to as Eve) could know
g and p a priori, intercept A and B over the insecure channel and still not
be able to discover the secret! Once Alice and Bob share a secret they can
use it to protect their communications. The Diffie-Hellman exchange
allows an insecure channel to become secure. The importance of this can-
not be overstated.
18 IPSec
One drawback of the Diffie-Hellman exchange is that it is susceptible

to a man-in-the-middle attack. In this attack, Mallory intercepts messages
between Alice and Bob and fraudulently responds impersonating Bob to
Alice and Alice to Bob. Alice thinks she’s doing a Diffie-Hellman
exchange with Bob but she’s really doing with to Mallory. Similarly Bob
thinks he’s doing a Diffie-Hellman exchange with Alice but he’s also
doing it with Mallory. Alice can then send Bob secret information pro-
tected with the shared secret she thinks she shares with Bob. Mallory can
decrypt it, copy it, and re-encrypt it with the secret that Bob has (which
he thinks is shared with Alice). Neither Alice nor Bob detect anything out
of the ordinary, except perhaps some delay in delivery due to Mallory’s
involvement.
The susceptibility to man-in-the-middle attack does not render the
Diffie-Hellman exchange useless though, because the attack can be
thwarted by having Alice and Bob digitally sign their public values.
Mallory will not be able to fool Bob into signing her public value and
will not be able to make Alice think that her signature is in fact Bob’s.
Keep this in mind when reading Chapter 7 on the Internet Key
Exchange (IKE) Protocol.
RSA Key Exchange

With the RSA cryptosystem it is possible to encrypt with either the
public or private key and what one key encrypts the other can decrypt.
This capability can be put to use for doing a simplistic key exchange. If
Alice wishes to use symmetric cryptography to protect her communica-
tions with Bob, she can choose a random number as the key, encrypt it in
Bob’s public key, and send it to him. Only Bob will be able to decrypt the
key since he, alone, has possession of his private key.
An obvious problem with this approach is that anybody—such as
Mallory— can encrypt anything in Bob’s public key. Alice needs some-
thing to bind herself to this key. Once again, a digital signature can be
used for such a binding. Alice can sign the key and encrypt both the key
and her signature in Bob’s public key. A drawback to this approach is that
an RSA signature is the same as an RSA encryption: It can only be done
on data that is less the size of the modulus and the result is the size of the
modulus. If Alice’s RSA private key is the same size as Bob’s RSA public
key, her signature will be too big to encrypt in a single operation.
Also, the benefit of a Diffie-Hellman exchange is that each side con-
tributes to the resulting key, no one imposes the key on the other. For many
applications this will be an important issue, for others not quite so much.
Crypto Concepts
Using the tools described above, it’s possible to build a very compli-
cated and very extensible system for network security. IPSec is an exam-
ple. IPSec uses symmetric ciphers in CBC mode for encryption and
HMACs for bulk data authentication. The Internet Key Exchange is basi-
cally an authenticated Diffie-Hellman exchange. One method of authen-
tication is digital signatures, another involves HMACing a shared secret,
a third involves public key encryption to authenticate a peer.
There are certain concepts that are important to IPSec that are not
necessarily cryptographic tools.
Perfect Forward Secrecy
Symmetric keys have a much shorter lifetime than asymmetric. This
is due to the complexity of the algorithms. Asymmetric algorithms are
based on one-way functions, symmetric algorithms are not. While both
are in the same class of complexity, asymmetric algorithms are necessarily
the most difficult to solve of that class. They may be as difficult to solve as
symmetric algorithms (it’s the complexity theorists debate of whether NP
is equal to NP-complete) but are believed to be more difficult. Until some-
one proves that these two types of algorithms are of equal complexity we
continue to believe that asymmetric algorithms are more complex than
symmetric ones. This is a long way of explaining that certain keys have to
be thrown away, and never used again, much sooner than other keys.
When a Diffie-Hellman exchange is used to generate a symmetric key
(the kind of key that must be changed more frequently), both parties
contribute to the result. The key is ephemeral. If that key is thrown away
and replaced by a new key, which is the result of another Diffie-Hellman
exchange, the two keys will have no relationship to each other. If an
attacker broke a single symmetric key, he would have access to all data
that was protected by that key but not to data protected by any other key.
In other words, the system that uses such ephemeral, single-use, keys has
perfect forward secrecy.
A system would not have perfect forward secrecy if there was a single
secret from which all symmetric keys were derived. In that case, breaking
the root key could give an attacker all keys derived from that root and
therefore all data protected by all those keys.
The important issue to keep in mind regarding perfect forward
secrecy is that it is not enough to just use a different key, the keys must be
unique.
20 IPSec
Perfect forward secrecy is important for some applications but not for
all. There is a definite overhead associated with doing a Diffie-Hellman
exchange at each rekey interval. If the data requires such security it is an
appropriate price to pay, but if it doesn’t, it could be excessive. So, perfect
forward secrecy may not be necessary every single time. The IPSec stan-
dard key exchange, IKE, therefore has an option for perfect forward
secrecy. If the parties desire it, it is possible, but not necessary.
Denial of Service
Cryptography is not free. Doing modular exponentiation or comput-
ing the product of two very large prime numbers, even decrypting and
verifying the integrity of individual packets, takes both wall clock time
and CPU time. If it was possible to force a computer to do unnecessary
work while trying to achieve security, it might be possible to shut down
that computer. Such an attack is called a denial of service attack.
Denial of service attacks can be launched against cryptographic sys-
tems if the system can be induced to do unnecessary work or allocate
memory unnecessarily. A denial of service attack is when the attacker can
cause the attackee to do more work in response to the attack than is nec-
essary to launch the attack.
An example of such an attack would be if Alice was willing to do a
Diffie-Hellman exchange and Mallory sent thousands of bogus Diffie-
Hellman public values to her, all with fake return addresses. Alice could
be forced to do her part for these fake exchanges. That could be quite a
bit of work! It would be almost no work for Mallory, though, because it’s
computationally effortless to generate a string of random bits that look
like a Diffie-Hellman public value. It’s much more work to actually expo-
nentiate and generate a real one.
Another denial of service attack can be launched if Alice and Bob
share symmetric keys which they use to encrypt and authenticate individ-
ual IP packets. Mallory could send thousands of packets to Bob that look
like they came from Alice. Since Mallory doesn’t share the key the packets
would be bogus, but the only way Bob could find that out is to do the
work of decrypting and verifying the integrity of the packet! It’s much
cheaper to generate bogus packets than it is to detect that they’re bogus.
Thankfully, IPSec and IKE are constructed with partial defenses
against denial of service attacks. These defenses do not defeat all denial of
service attacks, but merely increase the cost and complexity to launch
them.
More Information
This chapter provides a brief overview of some cryptographic con-
cepts that will be expanded on later in this book. Cryptography is a com-
plex art, though, and it cannot be adequately explained in a short chapter
like this. There are many good books that give a solid background in
cryptography that you’re strongly encouraged to read. A good place to
start is Cryptography and Data Security by Dorothy Denning, and Applied
Cryptography by Bruce Schneier.
There are important and fascinating protocols and problems that
were not covered here. For instance, the zero knowledge proof: where one
party proves to another that she knows some information without actu-
ally divulging the information. Another one-way function that was not
discussed is the knapsack problem. Like the discrete logarithm problem,
the knapsack problem can be used to construct public key cryptosystems.
Other, more complicated, key exchanges also exist, like the Encrypted
Key Exchange (EKE). There are even attacks against the cryptographic
tools that IPSec uses, like the Birthday Attacks against hash functions.
This attack takes its name from the observation that if you are in a room
with only 182 other people, the chances are even that one of those per-
sons has the same birthday as you. If there is a room of only 23 people,
the chances are even that there are two people in the room that share the
same birthday. This in spite of the fact that there are 365 (sometimes
366) days in the year! The birthday paradox affects hashing algorithms
because it illustrates the statistical probability of finding two random
inputs that will hash to the same digest—i.e., in finding a collision. If the
digest from a hash algorithm is n bits in length, finding two distinct mes-
sages that hash to the same digest would take O(2n/2) operations.
Cryptography is probably as old as speech but it continually evolves
to solve new, interesting, and critically important problems of today and
tomorrow.
Chapter
CHAPTER
TCP/IP Overview
This chapter provides a very brief introduction to TCP/IP protocol

for readers not familiar with the concepts of TCP/IP.1 We then go
on to discuss the advantages and disadvantages of implementing
security at various layers in the stack. This is necessary to under-
stand the reasons to implement security at various layers. This
also provides the framework to discuss IP security in the following
chapters.
1. For a more in-depth discussion of TCP/IP protocol, we strongly recommend that readers refer to
other books.
23
24 IPSec
Introduction to TCP/IP
In this section, we briefly discuss the protocols used in the TCP/IP
stack, the addressing architecture, the Domain Name System (DNS), and
the socket interface.
In the early 1960s, DARPA (Defense Advanced Research Project
Agency) funded a project that connected universities and research agen-
cies through a network called ARPANET. In 1983, the TCP/IP protocols
replaced the original ARPANET NCP (Network Control Protocols). The
TCP/IP protocols running this network were open, simple, and easy to
use. This network has grown considerably into what is called “Internet.”
The Internet is a collection of networks running TCP/IP protocol suite.
In the ’80s there were other networking protocol architectures—
ISOs OSI, IBMs SNA, and Digital’s DECNET to name a few. However,
none of these protocols were as simple and open as the TCP/IP protocol
suite. This led to wide deployment, development, and support for the
TCP/IP protocol suite.
The networking protocol architecture consists of various components:
• Protocol stack—This comprises various layers that communicate
among themselves to efficiently transmit the packet.2
• Addressing—The capability to uniquely identify a destination. In
order to communicate with a global entity, it is necessary to
uniquely identify the entity.
• Routing—The capability to efficiently determine the path a par-
ticular packet is to traverse to reach a destination.
Protocol Stack
The TCP/IP protocol stack consists of 4 layers as shown in Figure 2.1.
Each layer in the stack has well-defined functions and capabilities. Each
layer exports well-defined interfaces that the layers above and below it can
use to communicate with it. The layered architecture has many advantages.
In addition to simplifying the design of the protocol stack, it also simplifies
its usage. The design is simplified as each layer interacts only with the layer
immediately above and below it. Once the service the layer provides and its
interfaces are identified, each layer can be designed independently. The
usage is simplified as the complexities of the networking stack are hidden
from the applications using the networking stack.
2. Packet is the unit of data.
2 TCP/IP Overview 25
Application Layer
Transport Layer
Network Layer
Data Link Layer
Figure 2.1 IP packets protected by IPSec in transport

mode and tunnel mode.
The functionality of each layer is described below. The protocols that

implement these services are described later.
Application Layer: The application layer provides the services for an
application to send and receive data over the network. It also provides ser-
vices such as name resolution (refer to DNS). Applications such as World
Wide Web (WWW) browsers or e-mail clients use the services provided
by the application layer to communicate with its peers, WWW servers
and e-mail servers respectively. The application layer also defines the
interface to the transport layer. This interface is operating-system depen-
dent. The most popular interface is the socket interface. The socket inter-
face is provided in all flavors of the UNIX operating system and on the
Microsoft platforms.
Transport Layer: The transport layer is responsible for providing ser-
vices to the application layer. In the TCP/IP protocol suite the transport
layer provides the following services:
1. Connection-oriented or connectionless transport: In a connec-

tion-oriented transport, once a connection is established between
two applications, the connection stays until one of the applica-
tions gives up the connection voluntarily. The application speci-
fies the destination only once, during the establishment of the
connection. The best analogy for this is the telephone service.
Once a call is established, it stays connected until one speaker
disconnects. In connectionless transport, the application has to
specify a destination for every single packet it sends.
2. Reliable or unreliable transport: In case of reliable connection, if
a packet is lost in the network for some reason (network over-
load, or some node going down), it is retransmitted by the trans-
port layer. The transport layer is guaranteeing the reliable
26 IPSec
delivery of the packet to the destination. In the unreliable con-

nection, the transport layer does not take up the responsibility of
retransmission. It is up to applications to handle cases where a
packet does not reach its destination because it was dropped in
the network.
3. Security: This service is new compared to other services offered
by the transport layer. Security services such as authenticity,
integrity, and confidentiality are not widely supported. However,
in the future, security will be tightly integrated with the stack and
will be available widely.
An application has to choose the services it requires from the trans-

port layer. There are advantages and disadvantages in choosing different
services. In addition, there may be limitations in the combination of ser-
vices one can choose. Presently, it is invalid to choose connectionless reli-
able transport as TCP/IP does not implement such a protocol. The
discussion of these is beyond the scope of this book.
Network Layer: The network layer provides connectionless service.
The network layer is responsible for routing packets. Routing can be
described as the process that determines the path a packet has to traverse
to reach the destination. The devices that decide how to route a packet
are called “routers”3. In order to route the packet, the network layer needs
to identify each destination unambiguously. The network layer defines an
addressing mechanism. The hosts should conform to the addressing
mechanisms to make use of the services offered by the network layer. This
is discussed in greater detail in the addressing section (see section on
Addressing below).
Data Link Layer: The data link layer is responsible for packet trans-
mission on the physical media. The transmission is between two devices
that are physically connected. Examples of data-link layers are Ethernet,
Token Ring, and Asynchronous Transfer Mode (ATM).
As described above, each layer in the protocol stack is tasked with a
specific function and the layering must be preserved. The application
layer cannot talk to the network layer directly. It has to talk through the
transport layer. Layering is also preserved between hosts as shown in Fig-
ure 2.2.
3. In this book we use the term “host” in the context of an end system. The host generates traffic but is not involved in
any routing decisions. Routers, on the other hand, normally do not generate traffic but instead forward traffic. The
term “gateways” normally refers to a router.
Application Application Data Application

Layer Layer
Transport Transport Payload Transport
Layer Layer
Network Network Network Network Network
Layer Payload Layer Layer Layer
Data Link Data Link Data Link Data Link Data Link
Layer Payload Layer Layer Layer
Host A Router Router Host B
Figure 2.2 Communication between layers.
Data Flow
The data flow from source to destination is as shown in Figure 2.3.
Data App App Data

1 11
TH Transport Transport TH
2 10
NH Network NH Network NH
3 5 6 8 9
4 7
DH Data Link DH Payload Data Link DH Payload
Source Router Destination
Figure 2.3 Data flow.
For the purposes of the discussion, let us assume that the transport
protocol is TCP and the network protocol is IP.
1. An application on the source host sends the data that needs to be

transmitted to the destination over the socket interface to the
transport layer. The application identifies the destination it
wishes to communicate with. The destination includes the host
and an application on the host.
2. The transport layer, in this case TCP, gets this data and appends a
transport header, in this case a TCP header, to the payload, the
data, and sends this down to the network layer. The fields in the
TCP header help in providing the services requested by the appli-
cation.
28 IPSec
3. The network layer receives the payload from the transport layer.
This consists of the data and the TCP header. It appends an IP
header to this payload. It then sends the payload plus IP header
down to the data link layer. In addition, the network layer also
identifies the neighbor the packet needs to be sent to en route to
the destination.
4. The data link layer then appends a data link header to the pay-
load from the network layer. The data link layer identifies the
physical address of the next hop the packet should be sent to and
sends the packet.
5. The data link layer on the next hop receives the packet, strips the
data link header from the packet and sends the packet up to the
network layer.
6. The network layer looks at the network header and decides the
next hop the packet needs to be sent to en route to the destina-
tion and invokes the data link layer.
7. The data link layer appends the data link header to the payload
and transmits the packet to the next hop.
8. Procedures 6 and 7 are repeated till the packet reaches the desti-
nation.
9. Upon reaching the destination, the data link layer strips the data
link header from the packet and sends it up to the network layer.
10. The network layer then strips the network header from the
packet and sends it up to the transport layer.
11. The transport layer then checks the transport header to guarantee
that the application is being serviced properly, strips the transport
header, identifies the application to which this packet is destined,
and sends it up to the application.
12. The application on the destination receives the data that was sent
to it by the application on the source.
Network Layer
In the TCP/IP protocol suite, there are two network protocols—IPv4
and IPv6. These protocols are discussed to an extent that provides good
context to understand IP Security.
IPv4
IPv4 (Internet Protocol version 4) is the most prevalent network layer
protocol today. It uses a simple addressing scheme and provides connec-
tionless service. IPv4 has a very mature routing infrastructure.
Addressing
Addressing is one of the important components of a network layer
protocol. IPv4 identifies each host4 by a 32-bit address. This address is
normally represented in the form A.B.C.D. This notation is commonly
referred to as dotted decimal notation where each symbol is a byte (8
bits). An example of an IPv4 address is 128.127.126.125. This represen-
tation is chosen instead of a flat number space because it imparts hierar-
chy to addressing and also is easier to perceive.
An IP address has two parts—a network ID and a host ID. The net-
work ID logically groups a set of IP addresses together. The grouping is
required to provide efficient routing and other services, such as IP broad-
cast.5 The network ID part of an IP address is obtained by logical AND
of the IP address with the network mask. The network mask is always a
contiguous bit of 1s. Examples of network masks are 255.255.255.0,
255.255.0.0, and 255.254.0.0. In these examples the leftmost (starting
from the most significant bit) 24, 16, and 15 bits are 1’s respectively. The
network ID for the IP address 128.127.126.125 with the example net-
work masks is 128.127.126, 128.127, and 128.126 respectively. This is
obtained by logical AND of the network masks with the IP address as
shown in Figure 2.4. An IP address is always represented along with its
network mask.There are two representations: 128.127.126.125/
255.255.255.0 or 128.127.126.125/24. Both representations have the
same meaning, i.e., the network ID are 24 most-significant bits of the IP
address.
Host Address Network Mask Subnet

128 127 126 125 and 0x FF 0x FF 0x FF 0x 0 = 128 127 126 0
128 127 126 125 and 0x FF 0x FF 0x 00 0x 0 = 128 127 0 0
128 127 126 125 and 0x FF 0x FE 0x 0 0x 0 = 128 126 0 0
Figure 2.4 Relationship between subnets and network

masks.
4. A host is an entity that is involved in the communication.

5. Broadcast is the ability to communicate with a set of hosts without duplicating the packets. In this case, the network
ID part of the destination address is used to identify the destination and hence all nodes with the same network ID
get the packet.
30 IPSec
To realize the importance of network mask, let us consider an analogy

of how telephone numbers are allocated and maintained. The telephone
numbers in the United States have a well-known structure (xxx)-yyy-zzzz
where xxx represents the area code, yyy represents the city code, and zzzz
identifies the line within that city. It is important to provide the structure
for the purposes of routing and telephone number allocation. Imagine
what would happen if there was no such structure. How will one know if
a number is already allocated or not? Moreover, if someone wants to call a
number from California, how does the switch in California know how to
reach all the telephones in the U.S., which is 1010! IP address allocation is
no different. It allows logical grouping of addresses to ease the task of
address allocation, routing, and providing other services.
An organization that gets a network ID can define subnets recur-
sively. Let us go back to the telephone address allocation. For the purpose
of illustration, let us say that the top 3 digits (xxx) are allocated to a state.
It is up to the state to use the lower 7 bits. The state uses 3 out of the 7
digits to identify the town. The town uses 4 digits that are left to identify
the telephone of a particular house. In this case, there is a three-level
address allocation—state, city, and house. Network address allocation is
no different. An organization that gets a chunk of network addresses
would like to allocate it to make its routing and traffic separation easy.
Various departments may like to have addresses in the same range as they
may want to keep some traffic local to their network. For example, if an
organization receives a network ID 132.131/255.255, it can use some
bits to form its own subnets. Let us say that it uses 8 of the 16 bits to
form its own subnet. Then the network mask within the organization is
255.255.255.0. However, this is oblivious to the outside world. For the
outside world, the network mask for the organization is still 255.255.0.0.
You may be wondering why it is necessary to define subnets. The fol-
lowing are the advantages of defining subnets:
1. The routing table size in the Internet core decreases because it is

unnecessary to specify each host in an organization. A router can
be delegated the task of forwarding a packet originating or des-
tined to any host on the subnet. Normally, at least one router is
assigned for each subnet.
2. Subnets are used to contain some types of IP traffic, such as IP
broadcasts. There are packets that are sent to all the hosts on a
subnet. If an organization has a network ID 125.126, a broadcast
Exploring the Variety of Random
Documents with Different Content
YHDEKSÄS LUKU.
Riiben linnan suuret juhlat olivat vetäneet linnan ja kaupungin

täyteen vieraita. Kuningas oli varhain aamulla käynyt kuningattaren
luona ja tavannut hänet iloisena ja tyynenä. Kruunauspukuunsa
pukeutuneena, hän oli sitten mennyt kaksinkertaisen juhlajoukon
kera kirkkoon. Ensin siellä laulettiin juhlallinen Te Deum kiitokseksi
kristinuskon leviämisestä sekä kuninkaallisen ristiritarin suurista
voitoista Preussissa ja Puolassa; sitten arkkipiispa Antero kastoi
pienen Valdemar-prinssin komeain juhlaohjeiden mukaan, ja viimeksi
toimitettiin kihlaus Ruotsin kuninkaan ja Regitza-prinsessan välillä.
Näiden juhlallisuuksien kestäessä seisoi kirkossa erään pilarin

vieressä ritari Otto Riisen Kaarlon kera.
"Enpä ole nähnyt kylmäkiskoisempaa sulhasta", kuiskasi Otto.

"Enemmän on mieleeni tuo kookas, uljaannäköinen ritari, joka seisoo
etummaisena kuningas Eerikin henkivartijain joukossa, se on urhea
ritari Sune Folkenpoika, joka viime vuonna vei kuningas Sverkerin
tyttären Vretan luostarista sekä kuninkaan että piispan ja koko
papiston uhalla."
"Sepä oli huimapää teko", kuiskasi Kaarlo. "Miten hän siitä
suoriutui?"
"Kuten näet. Hän on kerrassaan uuden kuninkaan ensimäinen

mies. Se oli reipas ja ovela temppu. Hän oli pukenut itsensä ja
miehensä enkeleiksi, ja niinpä uskoivatkin kaikki hurskaat nunnat,
että hän vei kauniin Helena-prinsessan taivaaseen. Nyt on neito
hänen vaimonsa, ja hänellä on jo reipas poika, eikä koko Ruotsin
maassa kukaan uskalla kärventää hiustakaan rohkean Sune
Folkenpojan päästä."
"Jos ruotsalainen ritari vie kuninkaan tyttären luostarista ja

onnistuu hyvin", sanoi Kaarlo, "niin voi kai tanskalainenkin ritari
koettaa onneaan".
"Tuletko hulluksi, Kaarlo?" kysyi Otto. "Et toki ajattele sellaista

seikkailua."
"Varjelkoon! Enhän ole vielä ritari."
"Jos ryöstäisin jonkun neidon täältä kirkosta, niin kyllä tietäisin

kenet ottaisin!" kuiskasi Otto ylimielisenä ja katsahti Kaarlon sisarta,
solakkaa Kristiina-neitoa, joka kantoi morsiamen laahusta. "Mutta en
aikoisi jäljitellä ruotsalaista ritaria", lisäsi hän nopeaan. "Minä tekisin
enemminkin päinvastoin ja veisin tytöistä kauneimman luostariin.
Hovissa ne lapsiraukat turmeltuvat, saat uskoa. Eiköhän sinun
sisartasi tähtääkin useampi silmä kuin morsianta! Enoni,
kuningaskin, katsoo häntä useammin kuin minä sietäisin, jos olisin
tytön veli."
"Sisareni on rehellinen ja siveä tyttö!" vastasi Kaarlo

loukkautuneena.
"Hänen ei tarvitse olla telkeiden takana säilyttääkseen kunniansa."
"Hänen kunniansa puolesta minä uskaltaisin taistella koko

ritariston kanssa!" sanoi Otto. "Mutta ennenkin on kuultu rehellisen
neidon joutuvan huonoon huutoon vain siksi, että on ollut kaunis ja
ystävällinen kaikkia kohtaan."
"Tiedänpä hyvin, ettei kukaan puhu pahaa minun sisarestani",

sanoi Kaarlo posket harmista hehkuvina. "Jos minä olisin ritari, kuten
te kreivi Otto, niin totisesti ei kukaan siitä asiasta laskisi leikkiä
säilyttäen eheän otsan iltaan saakka!"
"Vaiti, vaiti, tyynemmin, asemies Kaarlo! Ymmärrättehän leikin",

sanoi Otto käyden syrjään, sillä Kaarlo alkoi tulla äänekkääksi ja
herättää ympäröivien huomiota.
Kaarlo ja ritari Otto olivat viimeisellä sotaretkeltä useissa yhteisesti

suorittamissaan urotöissä tulleet aseveljiksi ja läheisiksi ystäviksi.
Mutta he riitaantuivat melkein joka toinen päivä ja sanoivat toisilleen
kovia sanoja; sillä ritari Otto ilmaisi vapaalla käytöksellään
jonkinlaista turvautumista korkeaan sukuperäänsä ja ylempään
ritariarvoonsa, mikä loukkasi Kaarloa; yksinkertaisella, köyhällä
ritarinpojalla sitävastoin oli töykeä ja rohkea tapa esittää
vaatimuksensa ensinkään ottamatta huomioon sukuperää ja säätyä,
vaan ainoastaan miehuuden ja ritarikunnian; ja siihen nähden hän
nyt toivoi pian olevansa korkealentoisen, ruhtinaallisen asetoverinsa
veroinen. "Isä Saxo oli oikeassa: Paha on koiranpennun leikitellä
karhunpojan kanssa!" sanoi Kaarlo itsekseen mielellään joka kerta
kun hänen ja Otto-kreivin välit noin sotkeutuivat solmulle; mutta
seuraavana päivänä he kyllä taas olivat maailman parhaat
ystävykset, ja jos Otto todellakin oli loukannut, niin hän oli kohta
altis tunnustamaan sen ja sovittamaan tekonsa.
Kun nyt kuningas Eerikin ja kuningatar Regitzan hääjoukkue läksi
tuomiokirkosta, astui Kaarle kainosti syrjään, antaakseen tietä ja
tullakseen jälessäpäin kuningas Valdemarin ja hänen ritarinsa
takana, muiden asemiesten joukossa. Ritari Otto asteli nyt likinnä
kuningasta Albert-kreivin sivulla uljaana ja reippaana hänen
ohitseen, ja Kaarlo tunsi nöyryytettynä kuinka vähäpätöinen hän oli
ruhtinaallisen aseveljensä rinnalla. Tunkeilevassa kansanjoukossa
hän näki niin sanotun Kissanpäänoven luona köyhän, kumaraisen
pyhiinvaeltajan, joka viekkain, ilkein katsein tarkasteli kreivi Ottoa,
kadottamatta häntä näkyvistään. Kaarlo tuli tarkkaavaiseksi, ja oli
pyhiinvaeltajapuvun sisältä näkevinään arkkidiakooni Arnfredin, joka
häneen kohdistuneen vakavan epäluulon takia oli karkoitettu
kuninkaan alueilta. Kohta kun ritari Ottoa ei enää voinut nähdä
kirkon ovelta, oli tuo epäilyttävä pyhiinvaeltaja kadonnut
väkijoukkoon. Kaarlo unohti nyt hetkessä sen pienen kiistan, mikä
hänellä äsken oli ollut Oton kanssa, ja päätti etsiä hänet ensi tilassa
varoittaakseen häntä. Hän riensi linnaan, mutta hän ei päässyt koko
päivänä niin likelle Otto-kreiviä, että olisi voinut viitata hänelle; hän
ei näet voinut tunkeutua ritarien ja ylhäisten hovimiesten joukkoon,
jotka olivat likimpänä kuninkaallisten ympärillä, ja niiden joukossa oli
ritari Ottokin, joka kuninkaan sisarenpoikana ei sellaisena
juhlapäivänä voinut jättää paikkaansa kuninkaan läheisinten
joukossa.
Iltapuolella, kun juhlallisuuksien pääosa oli ohi ja iloiset vieraat

alkoivat jo vapaammin hajaantua eri tahoille, sai Kaarlo kuitenkin
tilaisuuden antamaan merkin sisarelleen, kun tämä aikoi jättää
kuningatar Regitzan, jota palvelemaan hänet oli siksi päiväksi
määrätty, ja lähteä kuningatar Dagmarin huoneisiin.
"Mitä tahdot, rakas veli!" sanoi Kristiina pudistaen rakkaasti hänen
kättään. "Tänään emme ehdi puhelemaan kunnollisesti
keskenämme. Minun on mentävä kuningattaren luo; hän raukka
istuu yksinään, eikä voi ensinkään ottaa osaa tähän hauskuuteen."
"Sana vain, rakas Kristiina! Jos näet kreivi Oton, ja sopivasti voit
lausua hänelle pari sanaa, niin pyydä häntä olemaan varuillaan, sillä
täällä on hänen verivihollisensa, se maanpakolaispappi, jonka hän
ruoskitti ulos kuninkaan kartanosta! Minä itse olen nähnyt hänet,
varmasti hän on väijymässä, saadakseen salaisesti kostaa."
"Jeesus Maria, mitä sanot!" huudahti Kristiina säikähtäen ja tullen

kuolonkalpeaksi.
"No, mikä sinun on, sisar? Sinulla ei ole mitään pelättävää. Pyydä
vain kreivi Ottoa olemaan varuillaan ja pitämään joka hetki ase
mukanaan! Mutta sano hänelle se siten, ettei sitä kukaan selitä
pahoin. Elä katso liian lempeästi häneen tai kehenkään muuhun
ylhäiseen herraan. Ah, rakas sisar! Muista, että isämme oli köyhä
ritari, sekä että pyhä, tahraton nimi on ainoa perintömme ja
omaisuutemme!"
"Miten johdut siihen, rakas veli?" kysyi Kristiina ihmeissään.
"Kyllin tästä, rakas sisar! Elä vain unhoita, mitä sanoin sinulle!"
"Ah en — teen sen pian! Kas tuollahan ritari Otto seisookin

kuninkaan luona; minä riennän hänen luokseen sanomaan sen —"
"Elä Jumalan tähden, sisar! Ei se sovi!" väitti Kaarlo aikoen

pidättää häntä. Mutta tyttö oli jo poissa, ja kohta Kaarlo näki, miten
tämän onnistui saada kreivi Otto parvekkeelle, missä nuori
ruhtinaallinen herra näytti erittäin innokkaasti alkavan keskustella
hänen kanssaan.
"Ei siitä mitenkään tule hyvää!" sanoi Kaarlo levotonna itsekseen.

"Miten minä en uskaltanutkaan itse yrittää noiden suurellisten
joukkoon! Sisareni on paremmin kotiutunut hoviin kuin minä, mutta
Otto oli oikeassa, hänen täytyy olla varuillaan!"
Kaarlo seisoi ritarisaliin vievän avoimen oven luona, missä

palvelijoita ja asemiehiä tungeksi sisään ja ulos. Hän sattui hetkeksi
katsahtamaan etusaliin ja kauemmin huolimatta sisarestaan ja Otto-
ritarista hän tunkeutui äkkiä oven kautta ja katosi.
Sillävälin ritari Otto seisoi parvella kahdenkesken Kristiinan kanssa,

eikä antanut kainostelevalle, säikähtyneelle neitoselle sanan vuoroa,
niin hän oli iloinen tältä saamastaan salaisesta, tuttavallisesta
viittauksesta; tosin hän ei pitänyt sitä sopivana tytölle, mutta se
miellytti häntä kuitenkin suuresti, ja hän sanoi nyt Kristiinalle niin
monta kaunista ja kohteliasta sanaa, että tyttö-parka vuoroin
punastui ja kalpeni.
"Mutta minulla on teille jotakin sanottavaa, ritari Otto!" sai tyttö

vihdoinkin sanotuksi. "Elkää Jumalan ja Pyhän Neitsyen nimessä
uskoko, että minä olisin tahtonut keskeyttää puheenne kuninkaan
kanssa tai viittoa teille niin kainostelematta, ellei minulla olisi ollut
vakavampaa asiaa; mutta teidän henkenne on vaarassa, jalo herra!"
"Henkeni!" keskeytti Otto hänet riehakkaasti ja hymyillen.

"Vapauttani kai tarkoitatte, kaunis neito! Ja siinä taidatte olla
oikeassa. En koskaan unhoita ystävällistä osanottoanne minua
kohtaan, silloin kun kaikki täällä ymmärsivät minut väärin. Silloin
minun täytyi rientää pois ehtimättä edes kiittämään teitä; mutta
uskokaa minua, kaunis Kristiina, mitä minä jätin — —"
"Ah, sinettisormuksenne!" keskeytti Kristiina nopeasti. "Tosiaan, se

on minulla — minä löysin sen ja talletin teitä varten. Kas täällä se
on!" Näin sanoen hän otti poveltaan esiin hopeavitjat, irroittaakseen
niistä sormuksen. "Mutta mitä minä tulinkaan ilmoittamaan teille —
—"
"Mitä minä näen, vanha sinettisormukseni!" keskeytti Otto hänet.

"Ja sellaisessa tallessa! Oh, älkää irroittako sitä, kaunis Kristiina!
Säilyttäkää sitä aina noin, ja antakaa minun ilokseni toivoa, ettei se
ole teille epämieluisa muisto!"
"Mutta Jumalani, herra kreivi!" sanoi Kristiina sävähtäen

veripunaiseksi. "Kuinka minä voin pitää sormuksenne, onhan siinä
teidän ruhtinasvaakunanne?"
"Katsos, minulla on toinen!" vastasi Otto. "Ja jos todella tahdotte

antaa minulle korvauksen siitä, niin antakaa tuo pieni merivaharisti,
joka riippuu sen vieressä."
Vastaamatta irroitti Kristiina merivaharistin kaulaketjusta ja ojensi

sen kreivi Otolle, joka otti sen ihastuneena; samalla hän tarttui
neidon käteen ja painoi sen huulilleen.
"Mutta rakas kreivi Otto, teidän henkenne on todella vaarassa;",

alkoi Kristiina taas ja kätki nopeasti sinettisormuksen. "Kuulkaahan
toki Jumalan nimessä, mitä minulla oli teille sanottavaa. Täällä on
teitä väijymässä eräs valepukuinen kavaltaja; mutta Kaarlo-veljeni on
nähnyt hänet ja pyysi minun varoittamaan teitä — se on se kavala
pappi, jota te kerran loukkasitte —"
"Mitä, Arnfredko?" kysyi Otto tarkkaavaisena ja päästi tytön käden.
"Mahdotonta, onhan hän maanpaossa!"
"Täällä hän kuitenkin on ja aikoo varmaan uhata henkeänne. Mitä

meidän on tehtävä?"
"Antaapa hänen tulla! Minä olen ollut suuremmassakin

vihollisjoukossa, ettekä te sentään uskone minun pelkäävän yhtä
miestä?"
"Ah en, herra Otto!" huokasi Kristiina. "Tiedänhän kyllä, kuinka

rohkea ja hurjapäinen olette. Mutta kuka voi puolustautua
salamurhaajaa vastaan? Hän voi työntää tikarin sydämeenne kun te
vähimmän sitä osaatte varoakaan!"
"Elkäähän pelätkö, hyvä neito! Minä otan takkini alle

rintahaarniskan; kun minä vaan tiedän missä voin odottaa vihollista,
en minä salli itseäni yllätettävän. Kiitos ystävällisestä
varoituksestanne, myöskin uskolliselle kunnon veljellenne! Hän teki
kauniisti tahtoessaan varoittaa minua; minä olen tänään vasten
tahtoani loukannut häntä."
"Siitä hän ei mitään puhunut, jalo herra! Mutta olkaa nyt todella
varovainen! Minä olen niin peloissani sen petturipapin takia."
"Huomenna saatte varmasti kuulla hänen istuvan tornissa", sanoi

Otto pudistaen lämpimästi tytön kättä. "Jumala teitä siunatkoon!"
"Kristus ja Pyhä Neitsyt varjelkoot teitä!" sanoi Kristiina ja vastasi

kädenpuristukseen arasti ja melkein huomaamattomasti, vetäen
kätensä nopeasti takaisin. "En uskalla kauemmin viipyä, kuningatar
odottaa minua."
Sitten hän kiiruhti pois. Ritari Otto katseli autuaana hänen
jälkeensä ja vasta kun ei enää näkynyt tytön solakkaa, kevyttä vartta
ritarisalissa, hän läksi, noudattaakseen hänen neuvoaan,
varustamaan hovitakkinsa alle rintahaarniskan.
Kun Otto astui ulos ritarisalista, hän heitti vaipan loistavan

hovipukunsa päälle, päästäkseen asuntoonsa linnan pohjoiskulmalle.
Hänen täytyi kulkea pitkän, synkän käytävän läpi. Hän oli melkein
unhottanut päämääränsä ja asteli ajatellen vain kaunista Kristiina-
neitoa ja hänen lämmintä osanottoaan kaikkeen, mikä häntä koski.
Tarkemmin miettimättä, mihin se taipumus voi viedä, mitä hän tunsi
tyttöä kohtaan, ja minkä hän nyt niin selvään huomasi ja niin
ajattelemattomasti vahvisti tytössäkin, hän asteli iloisena ja
kevytmielisenä käytävää pitkin, hyräillen lemmenlaulua. Yötä päivää
käytävässä palavan, sammumaisillaan olevan lampun heikossa
valossa hän nyt näki kaukana tumman varjon liikkuvan edestakaisin
hänen asuntonsa oven edessä. Hän pysähtyi äkkiä ja tarttui pieneen
korumiekkaansa, jota hän käytti kauniin hovipukunsa kera ja joka
hyvin huonosti kelpasi vakavaan otteluun. Hän empi, saattoiko hän
niin huonosti asestettuna käydä eteenpäin vai pitikö palata takaisin;
mutta pian hän tunsi poskilleen leviävän häpeän punan tuon pelon
tähden, jonka hän nyt ensi kertaa huomasi itsessään. Hän veti
miekkansa ja lähestyi hitaasti tummaa naamioitua olentoa, jonka
hän, sen hiipivästä käynnistä päätti Arnfrediksi. Hän oli vielä noin
kahdenkymmenen askeleen päässä huomionsa esineestä ja arveli,
pitikö hänen hyökätä vai odottaa kunnes hänen päälleen hyökätään.
Silloin sammui lamppu ja hänen ympärillään oli niin pimeätä, että
hän ei voinut nähdä miekkaa kädessään. Hän pysähtyi taas, ja
taisteli hänet vallannutta voimakasta pelkoa vastaan; sitten hän
asteli hitaasti edelleen ovea kohti ja tunnusteli varovasti miekallaan
kaikille puolilleen. Samassa hän kuuli jotain helähtävän ja toinen
miekka kosketti hänen asettaan. Sanaa sanomatta hän iski
umpimähkään ympärilleen, mutta sai samassa niin ankaran iskun
käsivarteensa että miekka lensi hänen kädestään, ja nyt hän kuuli
tutun äänen:
"Minne hävisit, kirottu salamurhaaja? Minä olen kreivi Otto! Tule

vaan!
Tällä kertaa saat tuta muutakin kuin koiranruoskaa."
"Kaarlo", huudahti nyt Otto. "Sinäkö se olet. Oletko järjiltäsi! Sinä

olet haavoittanut minua — minähän olen Otto. Sinä varoitit äsken
minua, ja nyt sinä hyökkäät itse minun päälleni. Sekö on sinun
ystävyyttäsi?"
"Taivaan Jumala, mitä olen tehnyt!" huudahti Kaarlo. "Tekö se

olette, ritari Otto! Minä luulin aivan varmaan teitä tuoksi
papinlurjukseksi. Hyvää minä tarkoitin. Olenko pahoinkin
haavoittanut teitä?"
Pian pääsivät ystävykset selville. Käsi Kaarlon kaulalla Otto palasi

hänen kanssaan asuntoonsa. Oton haava ei ollut suuri. Pian oli
käsivarsi sidottu ja Kaarlo sai puhutelluksi ystävänsä jäämään
rauhallisena asuntoonsa telkien taakse; Kaarlo tahtoi itse ottaa
selvän hänen salaisesta vihollisestaan ja siepata hänet kiinni; hän oli
näet ritarisalin ovelta selvään nähnyt Arnfredin hahmon katoavan
näihin pimeisiin käytäviin, jotka veivät etusalista linnan
kylkirakennukseen. Tämän sopimuksen jälkeen ystävykset erosivat,
ja tämä seikkailu oli liittänyt heidät toisiinsa entistäänkin lujemmin.
KYMMENES LUKU.
Sykkivin sydämin ja posket hehkuvina Kristiina oli saapunut

kuningatar Dagmarin luo, ja kuningatar oli lähettänyt luotaan muut
seuraneidot, jotka hän siksi päiväksi oli valinnut suodakseen
rakkaalle Kristiinalleen ilon olla mukana juhlassa. Kun Kristiina nyt oli
kahdenkesken kuningattaren kanssa ihmetteli Dagmar hänen
vaiteliaisuuttaan ja sitä ilmeistä mielenliikutusta, jota tämä turhaan
koetti salata. Kuningatar katseli häntä hellällä osanotolla.
"Sinä et tule iloisena ja vapaana lintuna tämän päiväisestä

juhlasta, hyvä lapsi!" sanoi hän ystävällisenä, tarttuen Kristiinan
käteen. "Mielesi on liikutettu ja kätesi vapisee. Mikä sinun on?"
"Ah, ei mikään, jalo kuningatar! Minä vain juoksin liian kiivaasti

käytävän läpi."
"Kristiina!" sanoi Dagmar ja katseli tyttöä lempeän varoittavasti.

"Nyt sinä et puhu totta. Sydämelläsi on jotakin. Eikö sinulla ole
ensinkään luottamusta minuun? Etkö sitten vielä tiedä, että minä
rakastan sinua niinkuin omaa sisartani?"
"Ah, jalo kuningatar", huokasi Kristiina. "Kuinka köyhän ritarin

tytär voi lähestyä teitä niinkuin jotakin vertaistaan? Onhan niin
tavaton ero välillämme." Nyt juolahtikin hänen mieleensä äkkiä, mikä
ero oli hänen ja kuninkaan sisarenpojan välillä, ja hän suuteli
kuningattaren kättä syvällä kaihomielisyydellä, kuumien kyynelten
virratessa hänen silmistään.
Kuningatar taputti häntä kyyneleisille poskille. "Hyvä ja hurskas

sydän, lapseni", sanoi hän rakkaasti, "tekee halvimman ja
köyhimmän yhtä rikkaaksi kuin kuningatar on Jumalan edessä.
Hänen edessään ei kelpaa kuninkaallinen veri eikä korkea sukuperä.
Luota minuun, lapsi, minä en voi nähdä sinua surullisena."
Kristiina huokasi syvään, mutta vaieten. Kuningatar siveli vaaleat

kiharat pois hänen otsaltaan. "Sinä olet siinä iässä, hyvä lapsi", jatkoi
hän, "jolloin nuorilla tytöillä sanotaan olevan salaisia sydänsuruja, —
joita minä en Jumalan kiitos koskaan ole tuntenut. Sano minulle,
rakas Kristiina, onko joku mies syynä niihin kyyneliin, joilla sinä
kostutat kättäni, sekä siihen levottomuuteen, joka ahdistaa sinun
mieltäsi?"
Kristiina luuli sydämensä salaisuuden tulleen ilmi ja punastui

kaulaa myöten. "Mies!" sammalti hän. "Jalo kuningatar miten siihen
johdutte. Minähän olen vasta viisitoistavuotias."
Nyt katkesi keskustelu, ja Kristiina luuli toipuneensa

hämilläolostaan sillä kuningas astui sisään katsomaan kuningatarta,
ottaakseen itse selvän hänen voinnistaan. Dagmarin posket olivat
punertuneet, ja hänen silmiinsä oli tullut eloisuutta keskustelusta
Kristiinan kanssa ja siitä mielenliikutuksesta, johon hän oli joutunut.
Hän vastasi kuninkaan tervehdykseen ja tiedusteluun hänen
voinnistaan vilkkaalla äänellä ja nousi vaivattomasti puolisoaan
vastaan ottamaan. Kristiinan silmiin pusertuivat pian kyyneleet. Hän
oli tervehtinyt kunnioittaen kuningasta ja aikoi vetäytyä
sivuhuoneeseen; mutta kuningas, joka tuli iloisena juhlasta ja
huomasi kuningattaren tilan paremmaksi kuin oli toivonutkaan,
taputti kainoa tyttöä poskelle. "Jäähän, pikku Kristiina!" sanoi hän.
"Ja auta minua ilahduttamaan kuningatarta! Minä näen sinun
osaavan sen paremmin kuin minä itse. Olen kuullut sinun laulavan
kauniita lauluja." Hän kääntyi nyt taas ystävällisenä Dagmarin
puoleen. "Oletteko niin hyvissä voimissa, jalo kuningattareni, että
voitte sietää sellaista huvitusta? Minä haluaisin nyt kuulla joitakuita
niitä lauluja, joilla olette sanonut pikku Kristiinan huvittaneen teitä
minun poissaollessani."
"Kuten tahdotte, rakas herrani ja kuninkaani!" sanoi Dagmar,

ojentaen Valdemarille kätensä, kun tämä istuutui hänen vierelleen.
"Laula, lapseni, jos voit!" sanoi hän kehoittaen aralle tytölle. "Elä
pelkää. Kuninkaalle ei liene tänään vaikea laulaa. En ole teitä nähnyt
pitkään aikaan niin iloisena", ja hän käänsi taas ystävälliset silmänsä
kuninkaaseen. "Vaikka en voinut ottaa osaa juhlaan, olen minäkin
hyvin iloinnut hiljaisuudessa siitä siunauksesta, minkä Herra
lahjoittaa meille tänään. Pikku Valdemarimmehan on ollut hyvä ja
hiljainen kirkossa; kas, hän nukkuu nyt suloisesti ja uneksii rakkaista
Jumalan enkeleistä."
Hän katseli sydämellisellä mielihyvällä nukkuvaa lasta, joka lepäsi

kultakehdossaan hänen leposohvansa vierellä. Valdemarinkin silmät
kiintyivät iloisina lapseen, mutta Kristiina seisoi punaisena ja
hämillään nyplien vyötään.
"Enpä ole pitkään aikaan saanut istua kotona näin rauhallisena ja

perheenisän tavalla!" keskeytti Valdemar äänettömyyden. "Sinä
näytät tänään hyvin terveeltä ja iloiselta, hyvä Dagmar, ja minä
toivon, että sinä voit pian näyttäytyä hovin ja kansan iloksi. — Mutta
entä laulu? Tänään minä tahdon kuulla vain laulua ja iloa!"
"Laula, rakas Kristiina!" sanoi Dagmar, ja Kristiina rohkaisi vihdoin

itsensä ja lauloi vanhan laulun neidosta, joka muuttui satakieleksi
["Danske viser fra Medeltiden" ("Tanskan keskiaikaisia
kansanlauluja")] ja jota vieras ritari tuli pyytämään, että hän laulaisi
laulun, jonka palkaksi hän antaisi kullata linnun höyhenet ja ripustaa
sen kaulaan helmiä. Kristiina tuli laulaessaan ihmeellisen liikutetuksi;
hän lauloi nyt mitä satakieli vastasi ritarille:
"En taida kultasulkias ma kantaa edessäs. Oon outo, orpo

lintu vain, mua tunne et ikänäs."
Hänen äänensä värähteli ja hänestä tuntui niinkuin olisi laulanut

itsestään, ja kun hänen nyt piti laulaa satakielen vastaus ritarin
kysymykseen, eikö tuo muutettu neito kärsi nyt nälkää ja kylmää ja
janoa, silloin hänet valtasi kaihomielisyys niin että hän vain vaivoin
sai esiin sanat:
"Mua nälkä ei murra, ei lumikaan, mi kattaa kaiken tien:

mua suru salainen murtelee ja ma siihen sortuva lien."
Ja nyt hän ei voinut kiivaalta ja äänekkäältä itkulta laulaa

enempää. "Sinä et voi hyvin, lapseni!" sanoi kuningatar. "Mene
vahvistamaan itseäsi. Kuningashan ei halunnut kuulla itkua ja
surulauluja."
"Lapsi parka, mikä sinun on?" sanoi kuningas osanottavaisesti

tarttuen hänen käteensä.
"Suokaa minulle anteeksi ja antakaa minun mennä, armollinen
herra kuningas!" pyysi Kristiina. "Minä itse olen vieras, villi-lintu, joka
en voi laulaa niin suurelle ja mahtavalle herralle."
Kuningas jätti hänen kätensä, ja molemmat kädet kasvojensa

edessä tyttö riensi pois huoneesta.
"Mikä tuon hyvän, sievän lapsen on? Ei kai hän sentään noin
pelkää minun läsnäoloani?"
"Minä en ymmärrä häntä tänä päivänä. Hän on niin sydämestään

iloinnut, saadessaan teiltä kiitosta, ja kun tuli tietoja teidän
voitoistanne, hän oli niistä yhtä iloinen ja onnellinen kuin minäkin;
hän puhuu teistä aina mitä suurimmalla ihailulla ja lämmöllä. Mutta
nyt hän pakenee teitä itkien eikä voi laulaa teille loppuun asti
lauluaan. Varmaankin hänelle on tapahtunut jotakin; mutta hän
luottaa minuun, ja minä aion kyllä saada selville, mikä tuo häntä
painava salainen suru on."
"Sääli tuota nuorta, kaunista tyttöä; pitääkö hänelläkin nyt näin

varhain olla sydänsuru", sanoi kuningas. "Mutta hänen surunsa ja
ahdistuksensakin somistaa häntä erinomaisesti; ei hän kuitenkaan
enää ole lapsi, hänestä on tullut täysikasvuinen kaunotar, kuten
huomaan."
"Sinun jälkeesi, rakas Valdemar", sanoi Dagmar, "en ketään koko

Tanskassa rakasta niin paljon kuin häntä. Hän on muuten iloinen ja
järkevä, eikä kukaan tiedä paremmin kuin minä, kuinka hyvä sydän
hänellä on."
"Mutta tuhannen tulimaista, mikä hänen on?" kysyi kuningas miltei

kärsimättömästi. "Minä en kuolemaksenikaan voi sietää jonkun
surevan. Ota selvä hänestä, rakas Dagmar. Jos sinä häntä niin
rakastat, niin hänen täytyy Jumalan tähden myös olla onnellinen!"
"Kiihkeä armaani!" sanoi Dagmar hymyillen. "Sinä unohdat voimasi

ja mahtavuutesi päivinä, että Hän, joka ohjaa onnenkin, hallitsee
kaikkien kuninkaitten ja ruhtinaitten yläpuolella."
Kuningattaren lempeä huomautus saattoi nyt kuninkaan vakaviin

ajatuksiin kansan ja valtakunnan onnesta. Hän koetti esittää
Dagmarille suuria tulevaisuuden-tuumiaan ja viipyi hänen
huoneessaan vielä hauskan ja tuttavallisen hetken.
Kuninkaan lähdettyä kuningatar Dagmarin huoneesta, palasi

Kristiina-neito ja pyysi kuningattarelta anteeksi sen lapsellisen pelon,
joka oli keskeyttänyt hänen laulunsa kuninkaalle.
"Eikö siinä todella ollut muuta?" kysyi Dagmar "Luota minuun,

hyvä Kristiina, ja avaa minulle kokonaan sydämesi; sinulla ei ole
vilpittömämpää ystävää kuin minä, ja kuningas itse on sanonut
tahtovansa tehdä sinut onnelliseksi, jos se on hänen vallassaan."
"Kuningas!" kertasi Kristiina iloisena ja säikähtäen. "Tuo suuri,

ihana sankari! — Ah, ei. Se ei ole mahdollista. — Sitä ei voi hän
ettekä te, jalo kuningatar! Köyhän ritarin tytärparka ei koskaan
uskalla ajatella omakseen onnea, mihin hän ei ole syntynyt. En minä
tahdokaan koskaan ajatella sitä. Elkää minulta kyselkö enää siitä,
hyvä, siunattu kuningatar! Minä en kuitenkaan tohdi tunnustaa teille
enkä kellekkään muulle, mitä vain taivaan Jumala tietää — ja mitä
ehkä myös on synti ja rikos ajatellakin."
"Synti ja rikos!" toisti kuningatar säpsähtäen. "Siitä sinua Jumala

ja kaikki pyhät varjelkoot! Tiedän kyllä, että vielä sinä et voi moittia
itseäsi ainoastakaan jumalattomasta tai rikollisesta työstä. Säilytä
tästä puoleen salaisuutesi povessasi! Nyt minä en tahdo enkä uskalla
udella sitä."
"Ah ei, jalo hurskas, kuningatar!" rukoili Kristiina polvistuen hänen

jalkojensa juureen ja painoi itkien päänsä kuningattaren syliin.
"Jumalan ja Pyhän Neitsyen nimessä, elkää toki uskoko mitään
pahaa Kristiina-raukasta. Mielellänihän minä tunnustan teille, että
sydämestäni rakastan häntä, häntä, jota en koskaan uskalla kutsua
omakseni — maailman uljainta ja rakastettavinta miestä; mutta hän
ei tiedä siitä mitään eikä saa sitä koskaan tietää. Ei se varmaankaan
ole synti eikä rikos, kun sitä ei tiedä kukaan paitsi minä ja taivaan
Jumala, kun minä hiljaisesti kunnioittaen kannan hänen kuvaansa
sielussani, mutta en koskaan, enää salli hänen tarttua käteeni ja
lukea salaisuuttani silmistäni — —"
"Onneton!" huudahti Dagmar kalveten, sillä hän uskoi nyt varmasti

tytön tarkoittavan Valdemaria.
"Niin, onnettomaksi te voitte minua kutsua, jalo kuningatar! Mutta

mitä minä siihen voin! Synti ja rikos se olisi vain, jos minä
hetkeksikään voisin unhottaa meitä eroittavan pohjattoman kuilun,
— ja ennemmin minun sydämeni murtukoon! Jos minun suonissani
ei virtaakkaan Skjöldungien verta kuten hänen suonissaan, niin
virtaa niissäkin sentään ylpeätä, jaloa aatelisverta, ja hyvä ja
tahraton nimi on minun ainoa perintöni ja omaisuuteni."
"Kristiina, Kristiina-parka, minä ymmärrän sinut!" sanoi kuningatar

syvästi, tuskallisesti huoaten. "Jumala sinua vahvistakoon ja
lohduttakoon, eksynyt lapsiparka, minä en sitä voi! Minä voin
ainoastaan rukoilla sinun edestäsi ja sen minä tahdonkin tehdä;
viime hetkellänikin tahdon rukoilla sinun edestäsi. Elä kiellä; kuka
tietää, mitä voi tapahtua. Elomme ja onnemme on Kaikkivaltiaan
käsissä!"
Kiihkeästi väristen Dagmar painoi päänsä Kristiinan rinnalle ja itki.

— Hän oli pyörtymäisillään ja Kristiina kutsui säikähtyneenä hänen
hovineitojaan. Nuorelle, heikolle äidille oli sattunut vaarallinen
kohtaus, ja Henrik Harpesträng kutsuttiin. Tämä pudisti päätään ja
huomasi hänen tilansa arveluttavaksi. Säikähtynyt Kristiina-neito oli
onneton ja moitti syystä kyllä itseään, että hänen sydämenasiainsa
takia jaloa kuningatarta oli hänen osanottavaisuutensa vuoksi
kohdannut tällainen onnettomuus.
Kuningattaren äkillinen ja vaarallinen huonontuminen keskeytti

Riiben linnan juhlat yleiseen pelkoon ja murheeseen. Kuningas heitti
pelipöydän kumoon ja riensi kuningattaren luo. Regitza lähti myös
kuninkaallisen sulhasensa luota häntä katsomaan. Mutta lääkäri oli
kieltänyt kaikilta sisäänpääsyn ja vaati vain rauhaa sairaalle.
Kuninkaan käskystä olikin linnassa kohta niin hiljaista ikäänkuin
kaikki sen lukuisat asujamet olisivat kuolleet, ja Riibessä ja sen
ympäristöllä todistivat vain levottomat väkijoukot ja monet poistuvat
vieraat päivän juhlallisuutta ja keskeytynyttä iloa.
Oli myöhäinen ilta. Linnan portin ulkopuolella seisoi

tanskalaisrunoilija Thorgeir hiljaisena ja alakuloisena Riisen Kaarlon
sivulla ja katseli suurta, tummaa linnaa, josta äsken loistivat soihdut
ja kynttilät ja kuului maljain kilinä ja juhlahumu —, mutta mistä nyt
ilo ja juhlallisuus oli kadonnut ikäänkuin salama olisi iskenyt. Nyt
loisti vain heikko valo sairaan kuningattaren huoneesta, ja siellä
täällä liikkui joku lamppu levotonna likimmillä käytävillä ja huoneiden
läpi. Taivas oli tumma ja pilvinen. Näytti niinkuin kuolema olisi
uhaten häilynyt raskaissa sadepilvissä kuninkaan linnan yllä.
"Olisiko nyt jo ilo ja onni mennyttä Riiben linnasta?" huokasi
Thorgeir. "Enpä olisi uskonut silloin kun täällä viimeksi paloivat
häätulet ja talonpojat tanssivat niin iloiten täällä linnan pihalla."
"Jo purjein rientävät Strange ja Dagmar-kuningatar!"
Minä lauloin silloin niin iloisena; nyt on minusta niinkuin minun

pitäisi laulaa:
"Kera hurskaan Dagmarin lentää nyt Jumalan enkelit!"
"Mutta miksi seisomme täällä niin kauan, hyvä Kaarlo! Tehän

seisotte kuin kiinnikasvettuneena ja vaanitte ohi kulkijoita ikäänkuin
olisitte vahtina täällä ja pitäisitte vihollisena jokaista linnasta tulevaa
ihmistä."
"Niinpä teenkin", vastasi Kaarlo. "Mutta jos näen oikein, niin

silmäni ovat keksineetkin jo etsimäni. Näettekö tuon kumaraisen,
synkän olennon, joka hiipii tuon kaivon ohi, kainalossaan kirjakäärö
tai mitä lienee."
"Mitä te hänestä? Antakaa hänen mennä rauhassa, sehän on vain

joku köyhä pyhiinvaeltaja-raukka, joka on matkalla Pyhään maahan."
"Se on susi lampaan vaatteissa, joka on matkalla helvettiin!" sanoi

Kaarlo. "Se on maanpakolaispappi, joka väijyy Otto-kreivin henkeä ja
aikoo kavaltaa kuninkaan salaisuuksia viholliselle. Minä olen vaaninut
koko päivän häntä mutta hän kai on huomannut sen ja aina päässyt
pakoon. Nyt hän on varmasti minun saaliini. Linnassa en uskalla
nostaa melua, mutta kohta kun hän astuu portin ulkopuolelle, minä
tartun häntä kaavun kaulukseen ja vien hänet torniin. Kas, nythän
hän pysähtyy ja katselee ympärilleen. Tulkaahan hiukan syrjään;
saatte uskoa että sillä miehellä ei ole hyvää mielessä, ei kuningasta
eikä Otto-kreiviä kohtaan. Hänhän on löytänyt suojan Schwerinin
kreivien luona. Ja jos hän on heidän palveluksessaan, niin hän on
täällä varmasti vakoojana ja kavaltajana. — Mutta minne hän taas
katosi, kun en näe häntä? Hän on koko noita! Minä olen valmis
uskomaan, että hän voi tekeytyä näkymättömäksi. Tulkaa, rakas
Thorgeir, auttakaa minua löytämään hänet."
"Jos hän on vielä linnan pihassa, niin hyvinhän me löydämme

hänet", sanoi Thorgeir. "Jos niin on asiat, niin minä en sääli häntä
ensinkään."
Kun Kaarlo ja Thorgeir menivät nyt linnanpihaan etsimään viekasta

Arnfrediä, oli tämä takapihan kautta päässyt pakoon ja ratsasti kohta
täyttä neliä Riiben katujen kautta, kainalossaan käärö tärkeitä
papereita, jotka hän juhlahumussa oli verrattomalla
yltiöpäisyydellään saanut käsiinsä kuninkaan salakammiosta.
Ovela pappi oli pian huomannut, että Kaarlo oli hänet tuntenut
Kissanpään-ovella, kun hänen Ottoon heittämänsä kostonhimoinen
katse oli ilmiantanut hänet. Siksi hän oli viisaasti lykännyt
mieskohtaisen kostonsa parempaan tilaisuuteen ja kiiruhti
suorittamaan tärkeämpää konnantekoa, minkä onnellisesta
päättymisestä riippui koko hänen menestymisensä Schwerinin
kreivien luona. Nuo tärkeät paperit kainalossaan ja hiottu tikari
viittansa alla hän oli palatessaan kuninkaan salakammiosta
piiloittautunut linnan hämäriin käytäviin, vartoakseen pimeään
saakka ja toivoen vielä tapaavansa Otto-kreivin. Mutta kun juhla niin
äkkiä keskeytyi, täytyi hänen lopulta pitää huolta turvallisuudestaan
ja nyt vasta, kun hän ratsasti eteläportin sillan yli, hän hengitti
vapaammin ja ratsasti hiukan hitaammin sen kappaleen joen
viereistä tietä, joka ulottui metsään saakka.
Näin ratsastaessaan hän kuuli äkkiä loisketta joesta, ja hänen

hevosensa pillastui ja syöksyi sivulle. Hän säikähti siitä niin että
menetti suitset käsistään, mutta vielä enemmän kauhistutti taika-
uskoista pappia ja hänen pahaa omaatuntoaan se että hän näki
kalpean naishahmon, joka päässään ruohoseppele tanssi tummin,
liehuvin hiuksin kuun valossa ja lauloi hurjaa laulua, keskeyttäen sen
usein kaikuvalla naurulla. Hiukset nousivat pystyyn syntisen papin
päälaella. Hänen kauhuaan lisäsi vielä likellä oleva hirsipuu-mäki,
missä muuan pahantekijä makasi teloitettuna ja mistä pari käheä-
äänistä korppia liitti huutonsa naisen lauluun ja nauruun. Hän luki
kaikki ne rukoukset, jotka hän hädässään muisti; mutta hänen
hevosensa nousi korskuen pystyyn ja pian hän loikoi voimatonna
jokirannan ruohikossa.
Kun hän tointui, katsoi hän hätääntyneenä ympärilleen. Hän näki

vain hirsipuun ja kuuli joen solinan; mutta noita, jonka hän luuli
nähneensä, oli hävinnyt, ja hän nousi rohkeasti. Hänen hevosensa oli
poissa. Ruohossa hänen vierellään välkkyi hänen tikarinsa, siihen
hän tarttui nopeasti; mutta turhaan hän etsi tuskaisen vaanivin
katsein papereita; niitä hän ei löytänyt mistään. Hän oli taas
kuulevinaan loiskinaa joesta ja kaukaista naurua kaislain välistä, ja
kauemmin etsimättä papereita hän pakeni tikari kädessään niin
nopeasti kuin tutisevat jalkansa kantoivat, ja katosi hirsipuumäen
taakse niinkuin pahantekijä, joka pakenee hirrestä ja pyövelin
käsistä.
Seuraavana aamuna astui Henrik Harpesträng iloisena kuninkaan

luo kertoen hänelle kuningattaren olevan parantumassa sekä
uskovansa, ettei hengenvaaraa ollut, jos muuten oli Jumalan tahto
että kuningatar toipuisi.
"Hänen hurskautensa, herra kuningas", sanoi lääkitystaitoinen

pappi, "auttaa häntä kuitenkin enemmän kuin minun maallinen
taitoni. Sillä pyhyys, arvoisa herra, on paras lääkitys sekä sielulle että
ruumiille. Jos kuningatar sen lisäksi välttää kaikkia kiihkeitä
mielenliikutuksia, samoinkuin vanhaa naudanlihaa, sianlihaa,
vuohenlihaa sekä savustettua jäniksen lihaa, samoin lohta, suolaista
silliä, toutainta ja kaikenlaista suolaruokaa, niin minä toivon Pyhän
Neitsyen apuun luottaen, ettei tarvitse pelätä mitään vaaraa."
Kuningas tuli siitä itse pian vakuutetuksi. Hän kävi nyt usein
kuningattaren luona ja huomasi hänen päivä päivältä paranevan.
Hän iloitsi siitä sydämellisesti eikä lähtenyt Riiben linnasta. Mutta
tämä sairashuoneen hiljainen elämä ja ilma, johon hän ei ollut
tottunut, ikäänkuin ahdisti hänen elinvoimaista mieltään ja oli hänen
kiihkeätä luontoaan vastaan. Vielä enemmän sai hänet synkäksi se
ikävä tieto Roomasta, että pannanalainen piispa Valdemar, joka oli
nöyrtynyt paavin edessä, Otto-keisarin vaikutuksesta oli päässyt
vapaaksi pannanalaisuudesta, ja sen lisäksi vielä oli saanut oikeuden
pitää messuja piispanpukuun puettuna. Mutta sitten kerrottiin vielä,
että Saksenin herttua Bernhard oli keisarin tahdon mukaan, vaikka
vastoin paavin nimenomaista päätöstä, asettanut hänet uudelleen
Bremenin arkkipiispaksi. Vielä kerrottiin, että paavi oli kruunannut
keisari Oton vähän aikaa sitten, kun tämä oli nöyrtynyt pitämään
hänelle jalustinta. Näiden tietojen saapuessa Junkkeri Strange oli
kuninkaan huoneessa.
"Mitä sinä siihen sanot, Strange?" lausui kuningas heittäen

suuttuneena kirjeen pöydälle. "Yltiöpää serkkuni istuu taas
arkkipiispan istuimella. Keisari Otto puuhaa Roomassa salaisesti
minua vastaan. Nyt kun Fiilip on kuollut, ei hän enää tarvitse minun
kättäni. Minä luin sen hänen viekkaista, teeskentelevistä silmistään,
kun hän lähti täältä. Hän ei olisi suonut minulle tuota voittojuhlaa
eikä hänelle ollut mieluista iloni hänen maanmiestensä paosta.
Jonkun ajan kuluttua hän on jo joukkoineen minun maani rajoilla."
"Jumalan nimessä, herra kuningas!" vastasi Junkker Strange

iloisena. "Osaattehan te näyttää talvitien yhdelle keisarille niin kuin
toisellekin. Paavin kanssa hän tuskin kauan on liitossa, ellei
paremmin pidä valaansa ja lupauksiansa kuin mitä tuntuu tekevän.
Sisilian Fredrik-kuninkaasta hän pelkää, syystä kyllä, saavansa
vaarallisen kilpailijan. Mutta jos hän todella hyökkää häntä vastaan
Apuliassa, on hänen ja paavin liitto lopussa."
"Tuo minulle paavin viimeinen kirje, Strange!" sanoi kuningas,

heittäytyen väsyneenä lepotuoliinsa. "Se on siellä hyllyllä
ulkomaalaisten asiapaperien joukossa."
"Missä, herra kuningas!" kysyi Strange, etsittyään turhaan kirjettä.
"Schweriniläisten asiapaperien joukossa."
"En näe niitäkään."
"Mitä", huudahti Valdemar hypähtäen ylös, "oletko tullut

sokeaksi?" Hän meni nyt itse hyllyn luo ja huomasi hämmästyen,
että hänen tärkeimmät paperinsa olivat kadonneet.
"Kuolema ja kirous! Kuka on ollut täällä?" huusi hän peloitta van

vihaisena. "Eikö ovi ole ollut teljettynä ja lukittuna? Vai onko
kavaltajia keskellämme?"
Nyt alettiin mitä tarkimmin etsiä kadonneita papereita; mutta niitä
ei löytynyt mistään, ja kuningas kiukutteli turhaan tästä yltiöpäisestä
ja käsittämättömästä, ryöstöstä. Hurskas Dagmar huomasi
kuninkaan mielialan ja oli jo useita kertoja yllyttänyt häntä
metsästykseen ja ritaripuuhiin. Eräänä päivänä hän toisti tämän
pyyntönsä Henrik Harpesträngin läsnäollessa.
"Kuningatar on todellakin oikeassa, armollinen herra kuningas!"

sanoi lääkäri, tarkasti katsoen kuningasta. "Kotkan täytyy lentää, ja
valaan uida. Ei kumpikaan niistä jaksa kuulla messua loppuun
saakka. Tupatyöt eivät ole niitä varten, herra kuningas! Teidän täytyy
metsästää ja puuhata ja senlisäksi muutamina päivinä juoda rautaa
viinin seassa! Muuten te voitte saada keltataudin. Sitäpaitsi en tiedä
parempaa neuvoa kuin hurskaan ja tyytyväisen mielen."
Kun Henrik Harpesträng lisäksi vakuutti kuningattaren olevan

täysissä voimissaan, myöntyikin Valdemar Dagmarin hartaaseen
pyyntöön ja läksi, mukanaan lukuisa jahtiseurue, Skanderborgiin,
missä hän aikoi muutamina päivinä huvikseen yritellä
haukkametsästystä, joka lapsuudesta saakka oli ollut hänen
lempihuvinsa. Kreivi Albert, ritari Otto ja Absalon Belg olivat mukana,
mutta Junkker Strangen hän jätti Riiben linnaan, sillä tämä
kuningattaren uskollinen ja harras ritari osasi usein iloisella ja
hyvänsävyisellä pilalla ilahduttaa häntä. Ja hänellä oli määrä
viipymättä lähettää kuninkaalle pikaviesti, jos kuningattaren tila
mitenkään huononisi.
YHDESTOISTA LUKU.
Kuninkaan lähdön jälkeisenä päivänä voi kuningatar niin hyvin, että

hän ensi kerran pääsi linnan puutarhaan nauttimaan raitista
kevätilmaa, jota hän niin kaipasi. Oli kaunis, selkeä toukokuun päivä.
Kristiina neito ei voinut saattaa kuningatartaan; hän näet sairasti
ankaraa kuumetta eikä ollut nähnyt kuningatarta tuon onnettoman
juhlaillan jälkeen. Regitza kuningatar oli häiden jälkeisenä päivänä
lähtenyt kuningaspuolisonsa kanssa Ruotsiin. Mutta kreivitär Iida,
joka itsekin vielä oli hiukan heikkona, seurasi kuningatarta parin
neidon kanssa. Suurempaa seuruetta Dagmar ei suosinut. Hän halusi
mielellään taas nähdä lempipaikkansa joen luona; mutta hänellä oli
ollut vielä kuitenkin salainen pelko tätä paikkaa kohtaan, ja
ainoastaan Kristiina-neito tiesi syyn siihen. Vaikka kuningatar
senvuoksi kohta paikan etäisyyden takia luopui aikeestaan lähteä
joen luo, luulivat kreivitär Iida ja neidot tekevänsä ilon viemällä
hänet sinne. He saivat hänet houkutelluksi istuutumaan kantotuoliin,
ja erästä kuningattarelle outoa syrjätietä he kannattivat hänet joen
rannalle lehtimajaan. Iloisesti yllätettynä, mutta kuitenkin puoleksi
pelästyneenä, Dagmar huomasi äkkiä olevansa lempipaikallaan. Oli
valoisa päivä ja pian oli kaikki pelko haihtunut. Hän istui iloisena
penkillä keinuvan veneen vieressä, ja uneksi taas lempeänä
lapsuudestaan ja onnellisesta tulevaisuudestaan. Niin hän oli istunut
kai jo tunnin verran ja aijottiin jo lähteä palaamaan linnaan. Silloin
neidot ja kreivitär Iida näkivät ihmeekseen köyhän kerjäläisnaisen
lähenevän, musta huntu vedettynä alas silmille ja repalaiset vaatteet
märkinä. Hän kulki kumarassa, kuten vanha, sairas vaimo,
kainalosauvaan nojaten. Mutta hunnun alta he näkivät kalpeat,
nuorekkaat kasvot, joista välkkyi musta silmäpari.
"Mistä tuo vieras vaimo on tänne päässyt? Mitä hän meiltä

tahtonee?" lausui kreivitär Ida. Kuningatar, joka tähän saakka oli
katsellut uneksien joen pikku aaltoja, huomasi nyt vasta vieraan
olennon ja huudahti säikähtyneenä.
"Elkää pelätkö, jalo kuningatar!" sanoi kreivitär Ida. "Se on

varmaan joku köyhä kerjäävä vaimoparka; mutta on
anteeksiantamatonta, ettei puutarhan portti ole ollut lukittuna tähän
aikaan. Menkää tiehenne, pikku muori", sanoi hän naiselle. "Täällä ei
ole paikka puhutella kuningatarta."
"Kyllä, juuri täällä!" vastasi vieras nainen, nauraen äänekkäästi ja

samalla hän tungetellen läheni kuningatarta. "Oletteko unhottanut,
mitä vellamoinen ennusti teille, kuningatar Dagmar?" jatkoi hän
puolittain alakuloisesti, puolittain ilkkuvasti hymyillen. "Ei auta
taistella virtaa vastaan: mitä siinä suuressa sinisessä kirjassa tuolla
ylhäällä sanotaan, sitä ei kuitenkaan voi estää. Minä voin
ennustaakkin: Ojentakaa minulle kätenne, kuningatar Dagmar, niin
minä sanon, puhuiko vellamoinen totta."
"Pois, pois!" sanoi Dagmar kalveten. "Minä en halua kuulla

ennustuksia — en tahdo tietää kohtaloani — ah, minähän tiedän sen
liiankin hyvin. Tahdotko tappaa minut, paha nainen!"
"Minä olen liian vähäinen tahtomaan, ja te myös!" vastasi
ennustajatar. "Meidän täytyy, niin se on! Tähdet eivät kysy parin
tomussa matavan madon tahtoa. Te olette kyllä ylpeä, koska teitä
kutsutaan Tanskan kuningattareksi, ja itse kutsutte maailman
suurinta sankaria puolisoksenne; mutta sen takia ei teidän pidä
katsoa kurjaa, kirottua vaimoa yli olkain? Minäkin olen kerran
uneksinut olevani kuningatar. Sentähden minun ukkoni täytyi pudota
rappusilta, sanoivat pahat kielet. Mutta siitä minä en tiedä mitään;
siitä vastatkoon Musta. Te ette ole paljonkaan enemmän kuningatar
kuin minä, kaunis Dagmar!" jatkoi hän hymyillen.
"Ei, — kuningatar on kaunis portugalilainen prinsessa Berengaria

— hänellä on mustat silmät kuten minullakin, ja hän tahtoo kantaa
kruunua meidän molempain puolesta. Hänelle Valdemar lauloi
lemmenlauluja, kun te seisoitte alttarin edessä hänen palvelijansa
kanssa. Jos tunnette kuningas Valdemarin käsialan ja sinetin, niin
lukekaa ja katsokaa, valehtelenko minä. Elkää uskoko, että kuningas
ajatteli teitä, kun hän kohteliaisuudesta ja säälistä syleili kuningatar
Dagmaria!"
Näin sanoen hän ojensi kuningattarelle revityn kirjeen, ja keveästi

kuin hirvi hän katosi pensaikkoon. — Kalpeana ja vavisten tuijotti
kuningatar repaleista kirjettä: hän tunsi Valdemarin käsialan ja
sinetin. Kirjaimet sulivat yhteen hänen silmissään; mutta hän ehti
kuitenkin nähdä, että siinä käskettiin Junkker Strangen palata
Böömistä ilman kuninkaanmorsianta, ellei se ollut myöhäistä;
myöskin Berengarian nimen hän näki. Mutta sitten hän pudotti
kirjeen kädestään ja vaipui voimatonna maahan.
Neitojen huudot kuultuaan kiiruhtivat Junkker Strange ja Henrik

Harpesträng tuotapikaa paikalle. Hyvin säikähtyneinä ja
huolestuneina he veivät kuningattaren takaisin linnaan. Junkker
Strange oli nähnyt tutun, onnettoman kirjeen ja hävittänyt sen.
Vasta kuningattaren huoneessa onnistui mestari Harpesträngin saada
kuningatar tajuihinsa. Hän katseli ihmetellen ympärilleen ja näytti
muistavan vain hämärästi, mitä oli tapahtunut. Mutta hänen mieltään
ahdisti, eikä hän voinut nähdä kylläksi ihmisiä ympärillään.
"Sytyttäkää valot!" sanoi hän. "Onhan synkkä yö. Tuokaa luokseni
kaikki Tanskan naiset, tuokaa kaikki viisaat ja oppineet. Ei, tuokaa
vain pikku Kristiina, hän yksinään kuitenkin teistä kaikista ymmärtää
minua! Hänkin kuuli mitä Vellamoinen lauloi:
"Sa poian synnytät puhtoisen;

emo lämmin, kylmäpä isä sen."
"Eikö hän laulanutkin sillä tavalla, pikku Kristiina —" nyt hän
kääntyi harhailevin katsein lääkäriin ja itki.
Saatuaan tiedon kuningattaren tilasta Kristiina-neito oli

kuumeisenakin hypännyt sängystä ja kiireesti heittänyt ylleen kulta-
reunuksisen hovihameen. Hän tuli nyt kuningattaren luo ja hänen
silmänsä täyttyivät kyynelistä, niin ettei hän nähnyt kuningattaren
käskystä sytytetyitä kynttilöitäkään. Kun Dagmar näki hänet, kohosi
hän vuoteeltaan ja syleili häntä.
"Jos voit lukea, lapsi", sanoi Dagmar, "niin ota Raamattu ja lue
minun sieluni lepoon! Sittenkun minä olen kuollut ja haudattu, saat
sinä kantaa punaista purppuraa ja ratsastaa minun hevosellani!"
"Ah, jospa voisin vaan auttaa teitä, jalo kuningatar, jos voisin
pelastaa henkenne omallani — minä tekisin sen niin mielelläni." Hän
otti kirjan käteensä ja tuijotti siihen. "Ah, taivaan isä Jumala
auttakoon teitä, rakas Kristus armahtakoon teitä! Teidän tuskanne on
rautaa kovempi."
"Lue, lue, rakas Kristiina!" rukoili Dagmar tuskallisesti. "Kuulkaa,

nyt Vellamoinen laulaa taas:
"Hiuskulta se poika on. Onni vaan

sill' ei ole kauan seuranaan."
"Antakaa minulle lapseni, antakaa minulle lapseni! Se paha vaimo

ei saa ryöstää minulta häntä! Lue, lue!"
Dagmar pusersi lasta rintaansa vastaan, ja Kristiina-neito luki

Raamattua parhaansa mukaan, kyynelten virratessa hänen käsilleen
ja kirjalle. "Ah jos Jumala sen tahtoo niin tapahtukoon niin", sanoi
Dagmar vihdoin tyynemmin, "lähettäkää viesti Skanderborgiin ja
pyytäkää herraani ja kuningastani palaamaan!"
Ennenkuin kuningatar oli toivomustaan lausunutkaan, oli se jo

täytetty. Junkker Strangen käskystä oli lähetetty jo kaksi pikaviestiä
Skanderborgiin kuninkaalle. Riisen Kaarle oli viimemmäksi lähetetty,
mutta hän ratsasti niin nopeaan, että hän ehti paljon ensimäisen
edelle. Hänen saapuessaan täyttä neliä Skanderborgin linnan luo,
kuningas seisoi linnan parvekkeella katsoen tielle.
"Jumala varjelkoon minua siltä viestiltä, minkä tuo poika tuopi",

sanoi Valdemar. "Hän ratsastaa kuin henkensä edestä. Jumala
tiennee, kuinka nyt on Dagmarin laita."
Pian Riisen Kaarle toi tuon surullisen uutisen. Hän oli itse niin
liikutettu, että hän vaivoin voi puhua. Kuningas nojautui parven
rauta-aitaan niin että se taipui. "Jumala estäköön hänet kuolemasta,
ennenkuin minä saavun!" sanoi hän rientäen hevosensa luo. Satojen
ritarien ja asemiesten kera hän lähti Skanderborgista. Kun hän
ratsasti Randbölin nummen yli, voi vain viisi miestä seurata häntä;
kun hän saapui Gristedin sillalle, seurasi häntä vain Riisen Kaarlo
vaivoin uupuneella juoksijallaan, ja kun hän ajoi Riiben sillan yli, hän
oli yksin.
Naistuvassa vallitsi suuri suru ja valitus. Kuningatar oli saanut

sakramentin ja viimeisen voitelun, ja kun kuningas ratsasti linnaan
vievää tietä, kuului koko linnassa valitushuuto, että kuningatar oli
kuollut. Hän lepäsikin kalpeana ja elonmerkkiä ilmaisematta Kristiina-
neidon sylissä.
Kovin hengästyneenä kovasta ratsastuksesta kuningas astui ovelle.

"Kuollut — kuollut?" kysyi hän. "Ja sanomatta minulle viimeistä
hyvästiä."
Itkien polvistui Kristiina-neito leposohvan ääreen ja kannatti vielä

kalpeata kuningatarta oikealla käsivarrellaan. Hän ojensi
sydämellisellä säälillä kuninkaalle kätensä: "Elkää surko jalo
kuningas!" sanoi hän. "Kuningattaren viimeinen sana oli teidän
nimenne — hän olisi niin halunnut nähdä teidät vielä kerran."
"Rukoilkaa, rukoilkaa kanssani kaikki, jotka olette täällä!" sanoi

kuningas polvistuen. "Rukoilkaa kristittyinä minun puolestani, että
hän avaisi silmänsä ja minä saisin puhua vielä jonkun rakkaan sanan
tässä elämässä hänen kanssaan."
Kuninkaan pyynnöstä kaikki polvistuivat rukoilemaan, ja kaikista oli

kuin ihme, kun kuolonkalpea kuningatar nyt todella avasikin silmänsä
vielä kerran ja tuijotti heihin kuin henkimaailman vieras. Monet

Download full IPSec the new security standart for the internet intranets and virtual private networks 2nd ed Edition Doraswamy ebook all chapters

Uploaded by

Copyright:

Available Formats

Download full IPSec the new security standart for the internet intranets and virtual private networks 2nd ed Edition Doraswamy ebook all chapters

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Download full IPSec the new security standart for the internet intranets and virtual private networks 2nd ed Edition Doraswamy ebook all chapters

Uploaded by

Copyright:

Available Formats

Download the full version of the ebook at

IPSec the new security standart for the

Explore and download more ebook at https://ebookultra.com

IPSec The New Security Standard For The Internet Intranets

Cisco secure virtual private networks CSVPN CCSP self

Private Security and the Investigative Process Third

Handbook of Wireless Local Area Networks Applications

Building a virtual private network 1st Edition Meeta Gupta

Local Networks and the Internet From Protocols to

VSAT networks 2nd ed Edition Maral

Security for wireless ad hoc networks 1st Edition Farooq

Prentice Hall PTR, Upper Saddle River, NJ 07458

© 2003 by Prentice Hall PTR

All rights reserved. No part of this book may be

Printed in the United States of America

Pearson Education LTD.

To Marina, the giant on whose shoulders I stand.

Part One: Overview

1 Cryptographic History and Techniques . . . . . . . . 1

Rise of the Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Cryptographic Building Blocks . . . . . . . . . . . . . . . . . . . . . . 6

2 TCP/IP Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

Domain Name System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Security—at What Level?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

3 IP Security Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

Encapsulating Security Payload (ESP). . . . . . . . . . . . . . . . . . . . . . . . . . 50

Authentication Header (AH) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

Internet Key Exchange . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Part Two: Detailed Analysis

4 IPSec Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59

5 The Encapsulating Security Payload (ESP) . . . . . . . . . . . . . .83

6 The Authentication Header (AH) . . . . . . . . . . . . . . . . . . . . . 93

7 The Internet Key Exchange . . . . . . . . . . . . . . . . . . . . . . . . . 101

The IPSec DOI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

Part Three: Deployment Issues

Policy Representation and Distribution . . . . . . . . . . . . . . . . . . . . . . . 135

Policy Management System. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Setting Up the Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

9 IPSec Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

IPSec Protocol Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

Fragmentation and PMTU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

ICMP Processing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

10 IP Security in Action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

Remote Access Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181

Four Office Company Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

Multiple Company Extranet Example . . . . . . . . . . . . . . . . . . . . . . . . 195

Outsourcing Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

12 IPSec Futures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217

Key Recovery. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

The Internet connects millions of people around the world

that confidential information will remain confidential, it is impos-

basics of TCP/IP and the advantages and disadvantages of implement-

Network Diagram Key

Since the beginning of time people have kept secrets. Probably

Rise of the Internet

Cryptographic Building Blocks

Another example is the Discrete Logarithm Problem: with a large prime,

Modular exponentiation is easy, but doing a discrete logarithm to recover

Figure 1.1 A Trap Door Function Tree