認証機能はちょっとわかりにくいしくみなのでもう少し説明を加えておこう。

 紙ならデータを書き換えれば物理的な痕跡が残るので,改ざんの有無は比較的容易に分かる。ところが,インターネット上を流れる情報は物理的な実体がないものなので,そうはいかない。

 そこでIPsecでは,送信元とあて先だけが知り得る秘密情報(これも鍵と呼ばれる)とデータを組み合わせて送信元で特殊な計算を実行し,その結果として得られた認証データを,秘密情報やデータと一緒に送る。受信側は,秘密情報を使ってデータから認証データを作る。そして,送られてきた認証データと自分で作った認証データを照らし合わせてみる。もし一致すれば,改ざんされていないと見なせる。

 データが変われば,対応する認証データも変わってくるので,もし第三者がデータを改ざんしたら,認証データも変わってしまう。改ざんを隠すには認証データも再計算しなければならないが,鍵を知らない第三者が正しい認証データを計算するのは不可能に近い。

 暗号化機能と認証機能はSSLなどの技術を利用することでも実現できる。ただしIPsecには,IPsecならではのメリットもある。一番のメリットはアプリケーションを問わないこと。つまり,アプリケーションになんら手を加えることなく,すべてのアプリケーションに暗号化機能と認証機能を適用できることだ。また,異なるベンダーの製品同士でも基本的には問題なく通信できるという相互接続性の高さもメリットである。


次回へ