IPSecのAHとESPについて

IPsecの目的が何なのかを実際にRFCを当たってみてみましょう。 http://www.ietf.org/rfc/rfc4301.txt 2.1. Goals/Objectives/Requirements/Problem Description | IPsec is designed to provide interoperable, high quality, | cryptographically-based security for IPv4 and IPv6. The set of | security services offered includes access control, connectionless | integrity, data origin authentication, detection and rejection of | replays (a form of partial sequence integrity), confidentiality (via | encryption), and limited traffic flow confidentiality. These | services are provided at the IP layer, offering protection in a | standard fashion for all protocols that may be carried over IP | (including IP itself). IPsecはIPv4とIPv6に相互運用できて、高品質な、暗号化技術に基づくセキュリティを提供するために作られているとまず書いてあります。ここでいうセキュリティに暗号化を使った機密性の提供は当然含まれていますが、その他にアクセス制限、コネクションレスな完全性、データの送信元の認証、再送信の検出なども含まれています。 こうして見ると、IPsecの目的は暗号化通信だけではないようです。それどころか、「3.1. What IPsec Does」なんかを見ると、アクセス制御の側面が大きいように感じるのですがいかがでしょうか。 ちなみに、AHについての説明は3.2に次のように書いてあります。 3.2. How IPsec Works | o The IP Authentication Header (AH) [Ken05b] offers integrity and | data origin authentication, with optional (at the discretion of | the receiver) anti-replay features. おっしゃるとおり、AHでは完全性と送信元の認証はしますが、暗号化はしません。しかし、これだけでも正当でない送信元からやってくるデータや誰かによって改ざんされたデータを検出することができるのでアクセス制御としては役に立つと思います。 セキュリティについて考えるときは、機密性、完全性、可用性の観点で見ますが、AHがあると完全性を保証できるので暗号化の必要はないが内容が正確である必要があるデータのやり取りには使えるように思います。たとえば、暗号化せず電子署名をつけただけのメールは銀行からのメールに使われたりしますが、復号の必要がないので電子署名に対応していないメーラーでも読めます。同様に考えると、AHを使えばIPsec非対応機器でちょっとしたヘッダの書き換えで読めるようにでき、完全性のチェックをしたい場合もちゃんと出来るというところで用途はあると思います。