Der Encapsulating Security Payload (ESP) dient der Verschlüsselung von IP-Datenpaketen und benutzt ebenso wie der Authentication Header ( AH) als Algorithmus den Hash-Based Message Authentication Code ( HMAC).
Der ESP-Header verwendet kryptografische Verfahren wie den Data Encryption Standard ( DES) und verschlüsselt alle Daten, die zwischen dem ESP-Header und dem ESP- Trailer liegen. Am Ende eines Datenpakets kann optional ein ESP-Authentifikationsblock für zusätzliche Authentizität sorgen.
Der Encapsulating Security Payload, der in RFC 2406 spezifiziert ist, authentifiziert im Transportmodus nur den IP- Inhalt, nicht aber den IP-Header. Dieser Modus wird vor allem innerhalb eines sicheren Netzwerks eingesetzt.
Im Tunnelmodus wird dagegen der IP-Header verschlüsselt, um interne Adressinformationen vor unberechtigtem Zugriff zu schützen. Dieser Modus ist im IPsec- Framework für das sichere Tunneling zwischen zwei Firewalls bei Virtual Private Networks ( VPN) vorgeschrieben.