IPsec

IPsec (Security Architecture for Internet Protocol) は、Internet Protocolにセキュリティ機能を加えたものです。IPパケットを安全に扱うために考案されました。

読み方

IPsec

あいぴー せっく

概要

IPsec では、パケットの暗号化 に 共通鍵 を使用します。 鍵交換 には、IKE が用いられます。 IPsecは、共通鍵暗号方式のDES暗号を利用します。

共通鍵暗号を用いるのは、暗号化や復号化が高速であるからです。

IPsec の暗号アルゴリズム

IPsec のモード

IPsec には、２つのモードがあります。

• IPパケット全体を暗号化するトンネルモード
• ユーザのデータ部分だけを暗号化するトランスポートモード

IPsec の通信

AH

AH (Authentication Header) は、認証と改竄防止機能を提供します。 データそのものは、暗号化されません。 RFC 1826 形式の AH には、再送防止機能(Anti Replay Counter)がありません。 RFC 2402 は 32bit 、 RFC 402 は 64bit のカウンタがあり、過去にそうしんされたパケットがコピー転送されても多重受信しない機能がオプションとして利用できます。

IPsec の鍵交換

IPsec は、通信時に使う暗号アルゴリズムと暗号鍵は、あらかじめ設定しておくか、通信開始時に行うネゴシエーションで動的に決定、交換します。

IPsec の SA と SPI

暗号アルゴリズムや暗号鍵に関する合意は、 SA (Security Association) と呼ばれます。 SA が確定すると、SAに関連付けされた SPI (Security Pointer Index) と呼ばれる 32ビットの整数が割り当てられます。 SPI は、各パケットに含まれます。パケット内の通信内容がどの暗号アルゴリズムと暗号鍵を仕様するのかを示します。

SAD

SA を管理するデータベースは、SADと呼ばれます。

IPsec の鍵交換プロトコル IKE

IPsec の利用する 鍵交換プロトコル は、 IKE です。

IPsec は、鍵交換が交換が終了してから、利用できるので、IKE自体にIPsec を利用できません。

IKEは、２つの段階で構成されます。 前半は、暗号アルゴリズム の決定と暗号鍵の生成です。 IKEの鍵生成は、ディフィー・ヘルマン鍵交換 が利用されます。 後半のフェーズは、暗号鍵を用いて、暗号化通信が行われます。

ESP

IPsec では、パケットごとに暗号化されます。 ESP(Encapsulating Security Payload) と呼ばれます。

• ペイロード

TCP/UDP ヘッダ + IPヘッダ 通信内容

• 次ヘッダ

上位プロトコルの種別

• パディング長

パディングの長さ

トランスポートモードでは、データを暗号化して、IPヘッダをつけて、受信ホストにパケットを送信します。

トンネルモードは、ゲートウェイでIPヘッダとデータをまとめて暗号化して、IPヘッダを追加して、次のゲートウェイに投げます。

IPsec が利用できるシステム

• Windows
  • Windows 2000 / Windows XP
    • IPv4, IPv6 で利用可能
    • IPv6 は、ESP暗号化に非対応
  • Windows Vista
    • IPv4, IPv6 で利用可能
• BSD
  • FreeBSD, NetBSD は、KAME の実装
  • OpenBSD は、独自実装
• Linux
  • • IPv4, IPv6 で利用可能
    • KIE は KAME 由来の ipsec-tools の racoon を利用する
    • Openswan, strongSwan

関連項目

• Virtual Private Network