A データ暗号化および整合性パラメータ

この付録では、Oracle Advanced Securityでサポートされている暗号化とデータ整合性のパラメータについて説明します。また、第9章「Oracleサーバーとクライアントに対するネットワーク・データの暗号化および整合性の構成」と第13章「Secure Sockets Layer認証の構成」で説明されているネットワーク構成の実行によって生成されるsqlnet.oraファイルの例も示します。

この付録のトピックは次のとおりです。

• サンプルsqlnet.oraファイル

• データ暗号化および整合性パラメータ

A.1 サンプルsqlnet.oraファイル

この項では、似た特性を持つ一連のクラインと似た特性を持つ一連のサーバーのsqlnet.ora構成ファイルのサンプルを示します。このファイルには、Oracle Advanced Securityの暗号化とデータ整合性のパラメータの例が含まれています。

トレース・ファイル設定

#Trace file setup 
trace_level_server=16 
trace_level_client=16  
trace_directory_server=/orant/network/trace 
trace_directory_client=/orant/network/trace 
trace_file_client=cli  
trace_file_server=srv 
trace_unique_client=true 

Oracle Advanced Securityの透過的データ暗号化設定

ENCRYPTION_WALLET_LOCATION = (SOURCE =
                                  (METHOD = FILE)
                                  (METHOD_DATA =
                                  (DIRECTORY =
                                   /etc/ORACLE/WALLETS/oracle)))

Oracle Advanced Securityのネットワーク暗号化設定

#ASO Encryption 
sqlnet.encryption_server=accepted 
sqlnet.encryption_client=requested 
sqlnet.encryption_types_server=(AES_256) 
sqlnet.encryption_types_client=(AES_256) 

Oracle Advanced Securityのネットワーク・データ整合性設定

#ASO Checksum 
sqlnet.crypto_checksum_server=requested 
sqlnet.crypto_checksum_client=requested  
sqlnet.crypto_checksum_types_server = (SHA1) 
sqlnet.crypto_checksum_types_client = (SHA1) 

Secure Sockets Layer設定

#SSL 
WALLET_LOCATION = (SOURCE=
                          (METHOD = FILE) 
                          (METHOD_DATA = 
                           DIRECTORY=/wallet) 

SSL_CIPHER_SUITES=(SSL_RSA_WITH_3DES_EDE_CBC_SHA) 
SSL_VERSION= 3 
SSL_CLIENT_AUTHENTICATION=FALSE 

共通設定

#Common
automatic_ipc = off
sqlnet.authentication_services = (beq)
names.directory_path = (TNSNAMES)

Kerberos設定

#Kerberos 
sqlnet.authentication_services = (beq, kerberos5)
sqlnet.authentication_kerberos5_service = oracle
sqlnet.kerberos5_conf= /krb5/krb.conf
sqlnet.kerberos5_keytab= /krb5/v5srvtab
sqlnet.kerberos5_realms= /krb5/krb.realm
sqlnet.kerberos5_cc_name = /krb5/krb5.cc
sqlnet.kerberos5_clockskew=900
sqlnet.kerberos5_conf_mit=false

RADIUS設定

#Radius
sqlnet.authentication_services = (beq, RADIUS )
sqlnet.radius_authentication_timeout = (10)
sqlnet.radius_authentication_retries = (2)
sqlnet.radius_authentication_port = (1645)
sqlnet.radius_send_accounting = OFF
sqlnet.radius_secret = /orant/network/admin/radius.key
sqlnet.radius_authentication = radius.us.example.com
sqlnet.radius_challenge_response = OFF
sqlnet.radius_challenge_keyword = challenge
sqlnet.radius_challenge_interface =
oracle/net/radius/DefaultRadiusInterface
sqlnet.radius_classpath = /jre1.1/

A.2 データ暗号化および整合性パラメータ

サーバー暗号化、クライアント暗号化、サーバー・チェックサムまたはクライアント・チェックサムの値を指定しない場合、対応する構成パラメータはsqlnet.oraファイルに含まれません。ただし、Oracle Advanced SecurityによってデフォルトでACCEPTEDに設定されます。

データ暗号化と整合性の両方のアルゴリズムでは、サーバーは、そのサーバーのsqlnet.oraファイル内のアルゴリズムのうち、クライアントのsqlnet.oraファイル、またはクライアントのsqlnet.oraファイルにアルゴリズムがリストされていない場合はクライアントのインストール済リストにリストされているアルゴリズムに、最初に一致するものを選択します。サーバーのsqlnet.oraファイルにエントリがない場合、サーバーはそのインストール済リストを順に検索して、クライアント側(クライアントのsqlnet.oraファイルまたはクライアントのインストール済リスト)の項目と照合します。一致するアルゴリズムが見つからず、接続の一方でアルゴリズムのタイプ(データ暗号化または整合性)がREQUIREDである場合、接続は失敗します。それ以外の場合、接続はアルゴリズムのタイプinactiveで成功します。

データ暗号化と整合性のアルゴリズムは、互いに独立して選択されます。表A-1に示すように、暗号化は整合性なしでアクティブにでき、整合性は暗号化なしでアクティブにできます。

表A-1 アルゴリズムのタイプの選択

暗号化の選択	整合性の選択
選択	選択なし
選択	選択
選択なし	選択
選択なし	選択なし

関連項目: 第9章「Oracleサーバーとクライアントに対するネットワーク・データの暗号化および整合性の構成」 「暗号化および整合性のアクティブ化について」

次の各項では、データ暗号化および整合性パラメータについて説明します。

• SQLNET.ENCRYPTION_SERVERパラメータ

• SQLNET.ENCRYPTION_CLIENTパラメータ

• SQLNET.SSL_EXTENDED_KEY_USAGEパラメータ

• SQLNET.CRYPTO_CHECKSUM_SERVERパラメータ

• SQLNET.CRYPTO_CHECKSUM_CLIENTパラメータ

• SQLNET.ENCRYPTION_TYPES_SERVERパラメータ

• SQLNET.ENCRYPTION_TYPES_CLIENTパラメータ

• SQLNET.CRYPTO_CHECKSUM_TYPES_SERVERパラメータ

• SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTパラメータ

A.2.1 SQLNET.ENCRYPTION_SERVERパラメータ

このパラメータでは、クライアントまたはクライアントとして機能しているサーバーがこのサーバーに接続する際の暗号化動作を指定します。サーバーの動作は、接続の相手側のSQLNET.ENCRYPTION_CLIENTの設定に部分的に依存します。

表A-2 SQLNET.ENCRYPTION_SERVERパラメータの属性

属性	説明
構文	SQLNET.ENCRYPTION_SERVER = valid_value
有効な値	ACCEPTED、REJECTED、REQUESTED、REQUIRED
デフォルト設定	ACCEPTED

A.2.2 SQLNET.ENCRYPTION_CLIENTパラメータ

このパラメータでは、このクライアントまたはクライアントとして機能しているサーバーがサーバーに接続する際の暗号化動作を指定します。クライアントの動作は、接続の相手側のSQLNET.ENCRYPTION_SERVERの設定値に部分的に依存します。

表A-3 SQLNET.ENCRYPTION_CLIENTパラメータの属性

属性	説明
構文	SQLNET.ENCRYPTION_CLIENT = valid_value
有効な値	ACCEPTED、REJECTED、REQUESTED、REQUIRED
デフォルト設定	ACCEPTED

A.2.3 SQLNET.SSL_EXTENDED_KEY_USAGEパラメータ

このパラメータでは、拡張鍵使用方法を使用して常にクライアント認証を使用するSecure Sockets Layer証明書を設定します。

表A-4 SQLNET.EXTENDED_KEY_USAGEパラメータの属性

属性	説明
構文	SQLNET.SSL_EXTENDED_KEY_USAGE = valid_value
有効な値	client authentication
デフォルト設定	client authentication

A.2.4 SQLNET.CRYPTO_CHECKSUM_SERVERパラメータ

このパラメータでは、クライアントまたはクライアントとして機能している別のサーバーがこのサーバーに接続する際のデータ整合性動作を指定します。動作は、接続の相手側のSQLNET.CRYPTO_CHECKSUM_CLIENTの設定に部分的に依存します。

表A-5 SQLNET.CRYPTO_CHECKSUM_SERVERパラメータの属性

属性	説明
構文	SQLNET.CRYPTO_CHECKSUM_SERVER = valid_value
有効な値	ACCEPTED、REJECTED、REQUESTED、REQUIRED
デフォルト設定	ACCEPTED

A.2.5 SQLNET.CRYPTO_CHECKSUM_CLIENTパラメータ

このパラメータでは、このクライアントまたはクライアントとして機能しているサーバーがサーバーに接続する際のデータ整合性動作を指定します。動作は、接続の相手側のSQLNET.CRYPTO_CHECKSUM_SERVERの設定に部分的に依存します。

表A-6 SQLNET.CRYPTO_CHECKSUM_CLIENTパラメータの属性

属性	説明
構文	SQLNET.CRYPTO_CHECKSUM_CLIENT = valid_value
有効な値	ACCEPTED、REJECTED、REQUESTED、REQUIRED
デフォルト設定	ACCEPTED

A.2.6 SQLNET.ENCRYPTION_TYPES_SERVERパラメータ

このパラメータでは、このサーバーで使用する暗号化アルゴリズムのリストをアルゴリズムの使用順に指定します。このリストは、相互に使用可能なアルゴリズムを接続のクライアント側とネゴシエートする際に使用されます。各アルゴリズムは、一致するものが見つかるまで、使用可能なクライアント・アルゴリズムのタイプのリストに対してチェックされます。インストールされていないアルゴリズムをサーバー側で指定した場合、接続はエラー・メッセージORA-12650で終了します。

表A-7 SQLNET.ENCRYPTION_TYPES_SERVERパラメータの属性

属性	説明
構文	SQLNET.ENCRYPTION_TYPES_SERVER = (valid_encryption_algorithm [,valid_encryption_algorithm])
有効な値	AES256: AES (256ビット鍵サイズ) AES192: AES (192ビット鍵サイズ) 3DES168: 3つの鍵を使用するTriple-DES (有効な鍵サイズは168ビット) AES128: AES (128ビット鍵サイズ) 3DES112: 2つの鍵を使用するTriple-DES (有効な鍵サイズは112ビット)
デフォルト設定	ローカルのsqlnet.oraファイルでアルゴリズムが定義されていない場合、インストールされているすべてのアルゴリズムが前述の順でネゴシエーションに使用されます。
使用上の注意	複数の暗号化アルゴリズムを指定できます。単一値またはアルゴリズム名のリストを指定できます。たとえば、次の暗号化パラメータはいずれも使用できます。 SQLNET.ENCRYPTION_TYPES_SERVER=(AES_256) SQLNET.ENCRYPTION_TYPES_SERVER=(3DES112,3DES168)

A.2.7 SQLNET.ENCRYPTION_TYPES_CLIENTパラメータ

このパラメータでは、このクライアントまたはクライアントとして機能しているサーバーで使用する暗号化アルゴリズムのリストを指定します。このリストは、相互に使用可能なアルゴリズムを接続の相手側とネゴシエートする際に使用されます。インストールされていないアルゴリズムをクライアント側で指定した場合、接続はORA-12650エラー・メッセージで終了します。

表A-8 SQLNET.ENCRYPTION_TYPES_CLIENTパラメータの属性

属性	説明
構文	SQLNET.ENCRYPTION_TYPES_CLIENT = (valid_encryption_algorithm [,valid_encryption_algorithm])
有効な値	AES256: AES (256ビット鍵サイズ) AES192: AES (192ビット鍵サイズ) 3DES168: 3つの鍵を使用するTriple-DES (有効な鍵サイズは168ビット) AES128: AES (128ビット鍵サイズ) 3DES112: 2つの鍵を使用するTriple-DES (有効な鍵サイズは112ビット)
デフォルト設定	ローカルのsqlnet.oraファイルでアルゴリズムが定義されていない場合、インストールされているすべてのアルゴリズムがネゴシエーションに使用されます。
使用上の注意	複数の暗号化アルゴリズムを指定できます。

A.2.8 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVERパラメータ

このパラメータでは、このサーバーまたは別のサーバーのクライアントで使用するデータ整合性アルゴリズムのリストをアルゴリズムの使用順に指定します。このリストは、相互に使用可能なアルゴリズムを接続の相手側とネゴシエートする際に使用されます。各アルゴリズムは、一致するものが見つかるまで、使用可能なクライアント・アルゴリズムのタイプのリストに対してチェックされます。インストールされていないアルゴリズムをサーバー側で指定した場合、接続はORA-12650エラー・メッセージで終了します。

表A-9 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVERパラメータの属性

属性	説明
構文	SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER = (valid_crypto_checksum_algorithm [,valid_crypto_checksum_algorithm])
有効な値	SHA1: Secure Hash Algorithm
デフォルト設定	ローカルのsqlnet.oraファイルでアルゴリズムが定義されていない場合、インストールされているすべてのアルゴリズムが前述の順でネゴシエーションに使用されます。

A.2.9 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTパラメータ

このパラメータでは、このクライアントまたはクライアントとして機能しているサーバーで使用するデータ整合性アルゴリズムのリストを指定します。このリストは、相互に使用可能なアルゴリズムを接続の相手側とネゴシエートする際に使用されます。クライアント側にインストールされていないアルゴリズムを指定した場合、接続はORA-12650エラー・メッセージで終了します。

表A-10 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTパラメータの属性

属性	説明
構文	SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT = (valid_crypto_checksum_algorithm [,valid_crypto_checksum_algorithm])
有効な値	SHA1: Secure Hash Algorithm
デフォルト設定	ローカルのsqlnet.oraファイルでアルゴリズムが定義されていない場合、インストールされているすべてのアルゴリズムがネゴシエーションに使用されます。