認証ヘッダー

認証ヘッダーは新しい IP ヘッダーです。強力な完全性、部分的シーケンス完全性 (応答保護)、IP データグラムに対するデータ認証を備えています。AH では対応できる範囲で最大限の IP データグラムを保護します。送信者と受信者の間で不定的に変更されるフィールドは AH では保護できません。たとえば、IP TTL フィールドの変更は予測できないので AH では保護できません。AH は IP ヘッダーとトランスポートヘッダーの間に挿入されます。トランスポートヘッダーの種類としては、TCP、UDP、ICMP、あるいはもう 1 つの IP ヘッダーがあります。トンネルの詳細については、tun(7M) のマニュアルページを参照してください。

認証アルゴリズムと AH デバイス

IPsec による実装では、AH は IP の先頭に自動的にプッシュされるモジュールです。/dev/ipsecah エントリでは、将来の認証アルゴリズムが AH の先頭にロードできる他、ndd(1M) で AH を調整します。現在の認証アルゴリズムには、HMAC-MD5 と HMAC-SHA-1 があります。どちらの認証アルゴリズムにも、それぞれのキーサイズ属性とキーフォーマット属性が用意されています。詳細については、authmd5h(7M) と autsha1(7M) のマニュアルページを参照してください。

セキュリティについて

応答保護を有効にしておかないと、応答時のすべての問題が AH をおびやかす原因になります。AH では盗聴行為には対応できません。AH で保護されたデータであっても、見ようと思えば見ることができます。