認証ヘッダー

認証ヘッダーは、新しい IP ヘッダーです。強力な完全性、部分的シーケンス完全性 (応答保護)、IP データグラムに対するデータ認証を備えています。AH では対応できる範囲で最大限の IP データグラムを保護します。送信者と受信者の間で不定的に変更されるフィールドは AH では保護できません。たとえば、IP TTL フィールドの変更は予測できないので AH では保護できません。AH は IP ヘッダーとトランスポートヘッダーの間に挿入されます。トランスポートヘッダーの種類としては、TCP、UDP、ICMP、あるいは、トンネルが使用されている場合、もう 1 つ別の IP ヘッダーがあります。トンネルの詳細については、tun(7M) のマニュアルページを参照してください。

認証アルゴリズムと AH モジュール

IPsec による実装では、AH は IP の先頭に自動的にプッシュされるモジュールです。/dev/ipsecah エントリでは、ndd(1M) で AH を調整します。 将来の認証アルゴリズムが AH の先頭にロードできます。現在の認証アルゴリズムには、HMAC-MD5 と HMAC-SHA-1 があります。どちらの認証アルゴリズムにも、それぞれのキーサイズ属性とキーフォーマット属性が用意されています。詳細については、authmd5h(7M) と auhtsha1(7M) のマニュアルページを参照してください。

セキュリティについて

応答保護を有効にしておかないと、応答時の攻撃が AH をおびやかす原因になります。 AH では盗聴行為には対応できません。AH で保護されたデータであっても、見ようとすれば見ることができます。