Responsável pelos serviços de confidencialidade do IPSec, o Encapsulating Security Payload se baseia no acréscimo de um cabeçalho e uma cauda ao pacote.

    Este protocolo define a encriptação do pacote como um todo (no modo túnel) ou da porção de dados do pacote (no modo transporte). No lado do emissor é realizada a encriptação e, no lado do receptor, a desencriptação. Durante o trânsito, as informações encriptadas não poderão ser examinadas por terceiros.

    Tanto para a encriptação, feita pelo emissor, quanto para a desencriptação, feita pelo receptor, são utilizados o algoritmo de criptografia e a chave secreta definidos por uma mesma SA. Há várias opções de algoritmos, sendo os mais comuns 3DES, Blowfish e AES.

    Além de prover serviços de confidencialidade, o ESP também provê serviços de autenticação e integridade, de maneira bastante similar ao AH. Todavia, estes não incluem o cabeçalho IP (no caso do modo túnel, não incluem o novo cabeçalho IP).

    Disso conclui-se que, dependendo da implementação, o endereço de origem do pacote poderia ser alterado no caminho sem que o receptor note. Ainda assim, a autenticação do restante do pacote seria capaz de garantir que o pacote veio de uma pessoa que conhece a chave de autenticação.

Figura 5: Ilustração de um pacote em modo túnel com encriptação
e autenticação do ESP. O cabeçalho e a cauda ESP envolvem
o pacote original. No fim, é acrescentado o campo de autenticação.

    Assim como o AH, o cabeçalho ESP se situa entre os dois cabeçalhos IP no modo túnel e, no modo transporte, entre o cabeçalho IP e o da Camada de Transporte. A cauda ESP está sempre situada no fim do pacote.