■ESP (Encapsulating Security Payload)
・ESP は、認証、整合性、および不正再実行対策のほかに、機密性を提供します。
・通常、ESP はパケット全体がトンネルされない限り、パケット全体に署名することはありません。
・通常は、データのみが保護され、IP ヘッダーは保護されません。
たとえば、コンピュータ A のアリスがコンピュータ B のボブにデータを送信したとします。
ESP では機密性が提供されるので、データは暗号化されます。
受信時に、検査処理が完了すると、パケットのデータ部分が解読されます。
アリスは、現実にデータを送信したのがボブであり、そのデータは修正されていないこと、
およびほかの人がそのデータを読んでいないことを確信できます。
セキュリティは、IP ヘッダーとトランスポート プロトコル ヘッダー (TCP または UDP) の間に
ESP ヘッダーを置くことで提供されます。
詳しい知識がある場合は、IPSec ポリシーでセキュリティ メソッドを構成することで
通信に使うプロトコルを選択できます。
■AH (Authentication Header)
これは暗号化通信が使えない(例えば、フランスのように市民の暗号化通信が許可されていないといった場合)
というケースのために、最低限「完全性の保証」と「認証」を行うために提供されている。
・AH は、パケット全体 (パケットで運ばれる IP ヘッダーとデータの両方) に対して、
認証、整合性、および不正再実行対策を提供します。
・AH はパケット全体に署名します。
・AH ではデータが暗号化されないので、機密性は提供されません。
・データの読み取りは可能になりますが、変更からは保護されています。
・パケットの署名には HMAC アルゴリズムが使われます。
たとえば、コンピュータ A のアリスが、コンピュータ B のボブにデータを送信するとします。
IP ヘッダー、AH ヘッダー、およびデータは署名によって変更から保護されます。
これは、アリスが、現実にデータを送信したのがボブであり、
そのデータが変更されていないと確信できることを意味します。
整合性と認証は、IP ヘッダーとトランスポート プロトコル ヘッダー (TCP または UDP) の間に
AH ヘッダーを置くことで提供されます。
