Kritikpunkte an IPsecAn IPsec wurde vielfach Kritik geübt, z.B. auch von Bruce Schneier und Niels Ferguson.
Weitere Kritikpunkte ergeben sich daraus, dass Sicherung auf der Ebene der Vermittlungsschicht dem verbindungslosen Kommunikationskonzept widerspricht. Dadurch werden auf der Vermittlungsschicht Konzepte (Verbindungsdaten, Verbindungsstrategien) benötigt, die in IP nicht vorhanden waren. Dieses wäre wesentlich natürlicher einem verbindungsorientierten Protokoll wie TCP oder einer Anwendung (http, SMTP) zuzuordnen, bei dem etwa Verbindungsdaten sowieso vorhanden sind. Als einziges wäre die Geheimhaltung der Verkehrsbeziehung ein Grund, auf der Vermittlungsschicht Verschlüsselung durchzuführen, während Authentifizierung dort ziemlich überflüssig erscheint. Man beachte auch, dass Authentifizierung in der Regel durch die Padding-Felder bei der Verschlüsselung erreicht werden kann, so dass auch hier kritisch untersucht werden sollte, ob eine ausschließliche Verschlüsselung nicht ausreicht, was das Protokoll noch mehr vereinfachen würde. Daher bliebe als sinnvolle Anwendung von IPSec nur noch Tunnelung zwischen Routern (oder gegebenenfalls zwischen speziellen Hosts). Es existieren verschiedene freie und kommerzielle Implementierungen, so von
Die Implementierung durch Routerhersteller wie Cisco oder 3Com ist sicherlich aus deren Sicht verständlich, da sie dieses als Leistungsmerkmal ihren Produkten hinzufügen können. Auch hier wird aber nur eine Verschlüsselung zwischen Routern - also eine Tunnelung - erreicht, da in der Regel keine IPsec-Infrastruktur mit SPD und SAD für allgemeine Anwendungen zur Verfügung gestellt wird. |