| Vielfach Kritik an IPsec geübt, |
| z.B. auch von Bruce Schneier und Niels
Ferguson.
| Komplexität des Protokolls
| wesentlicher Kritikpunkt |
| verhindert in
der Regel korrekte Implementierung |
| keine vernünftig testbare Implementierung |
| zu viele unterschiedliche Interessen berücksichtigt |
| IPsec kann heute nicht einsetzbar ohne erhebliche
Verrauensunsicherheit |
|
| schlechte Dokumentation
| Beweggründe für Entwurfsentscheidungen nicht offen gelegt |
| selbst Grundlagen-gebildete Implementierer verschleiert |
| was einzelne Funktionen bedeuten |
| Reine Implementierer
ohne Hintergrund falsche Entwurfsentscheidungen |
|
| Varianten (z.B. Schlüsselaustauschverfahren)
unterscheiden sich kaum
| erscheinen überflüssig |
| vergrößern Komplexität unnötig |
|
| Authentifizierungsheader und Transportmodus
vollständig verzichtbar
| durch ESP oder Tunnelmodus
abgedeckt |
| verringt Komplexität drastisch |
|
|
| Weitere Kritikpunkte
| Sicherung auf der Ebene der
Vermittlungsschicht
| widerspricht verbindungslosem Kommunikationskonzept |
|
| auf Vermittlungsschicht Konzepte, die in IP nicht vorhanden
| Verbindungsdaten, Verbindungsstrategien |
|
| natürlicher für verbindungsorientiertes Protokoll
| TCP oder |
| Anwendung (http, SMTP) |
| etwa Verbindungsdaten sowieso
vorhanden |
|
| Vermittlungsschicht Verschlüsselung zur Geheimhaltung der Verkehrsbeziehung
|
Authentifizierung dort ziemlich überflüssig |
|
| Authentifizierung in der Regel
|
Padding-Felder bei Verschlüsselung erreichbar |
| ausschließliche Verschlüsselung scheint ausreichend |
| Protokoll noch mehr vereinfachen |
| sinnvolle Anwendung von IPSec
| nur noch Tunnelung zwischen Routern |
|
gegebenenfalls zwischen speziellen Hosts |
|
|
|
| Es existieren verschiedene freie und kommerzielle Implementierungen, so von
| FreeSwan, |
| OpenBSD und |
| Hydrangea. |
| 3Com, |
| Cisco, |
| IBM, |
| Sun, |
| Toshiba usw. |
|
| Implementierung durch Routerhersteller verständlich
| Cisco oder |
| 3Com |
|
| Leistungsmerkmal ihrer
Produkten hinzufügen können. |
| nur Verschlüsselung
zwischen Routern erreicht
| Tunnelung |
| in der Regel keine
IPsec-Infrastruktur mit SPD und SAD |
| nicht für allgemeine Anwendungen |
|