セキュリティペイロードのカプセル化

AH によるサービス同様に、ESP でもカプセル化したデータの機密が守られますが、対象はカプセル化したものだけです。ESP の認証サービスはオプションです。これらのサービスでは、冗長になることなく ESP と AH を同じデータグラムで同時に使用できます。ESP は暗号対応技術を使用するため、アメリカ合衆国輸出管理法が適用されます。

ESP はデータをカプセル化し、データグラム内でその先頭に続くデータだけが保護されます。TCP パケットでは、ESP は TCP ヘッダーとそのデータだけをカプセル化します。パケットが IP データグラムの IP の場合、ESP は内部 IP データグラムを保護します。ソケット別ポリシーでは、自己カプセル化ができるため、必要に応じて ESP では IP オプションをカプセル化できます。認証ヘッダー (AH) と異なり、ESP では複数のデータグラム保護が可能です。1 形式だけのデータグラム保護ではデータグラムを守ることはできません。たとえば、ESP だけで機密は守れますが、機密だけを守っても、応答侵害とカットアンドペースト侵害には無防備です。同じく、ESP で完全性だけを保護しても、盗聴に対する対策が不十分なため、その保護能力は AH より弱くなります。

アルゴリズムと ESP デバイス

IPsec ESP では、IP の先頭に自動的にプッシュされるモジュールとして ESP が実装されます。/dev/ipsecesp エントリでは、将来の認証アルゴリズムが AH の先頭にロードできる他、ndd(1M) で ESP を調整します。AH で使用する認証アルゴリズムに加えて、ESP では暗号化アルゴリズムをその先頭にプッシュできます。暗号化アルゴリズムには、United States Data Encryption Standard (DES) と Triple-DES (3DES) があります。どちらの暗号化アルゴリズムにも、それぞれのキーサイズ属性とキーフォーマット属性があります。合衆国の輸出管理法の適用を受けるので、すべての暗号化アルゴリズムを合衆国外で使用できるわけではありません。

セキュリティについて

認証なしで ESP を使用しても、盗聴侵害の他、カットアンドペースト暗号化侵害に対しては無防備です。AH の場合と同じく、機密保護なしで ESP を使用しても応答には無防備です。合衆国の輸出管理法の適用を受けるので、合衆国外で販売される SunOS の場合、ESP で得られる暗号化は、強度が低くなります。