Solaris のシステム管理 (IP サービス)

IPsec の認証アルゴリズムと暗号化アルゴリズム

IPsec セキュリティープロトコルは、認証と暗号化という 2 種類のアルゴリズムを提供しています。AH モジュールは、認証アルゴリズムを使用します。ESP モジュールは、暗号化アルゴリズムと認証アルゴリズムを使用します。ipsecalgs コマンドを使用すると、システムのアルゴリズムとプロパティーの一覧を取得できます。詳細は、ipsecalgs(1M) のマニュアルページを参照してください。getipsecalgbyname(3NSL) のマニュアルページで説明されている機能を使用して、アルゴリズムのプロパティーを検索することもできます。

Solaris システムの IPsec は、Solaris 暗号フレームワークを使用して、アルゴリズムにアクセスします。このフレームワークは、その他のサービスに加えて、アルゴリズムの中央リポジトリを提供します。このフレームワークによって、IPsec は、高性能な暗号ハードウェアアクセラレータを利用できます。このフレームワークは、リソース制御機能も提供しています。たとえば、このフレームワークを使用すると、カーネルでの暗号処理に費やされる CPU 時間を制限できます。

詳細については、次を参照してください。

IPsec での認証アルゴリズム

認証アルゴリズムは、データとキーを基に整合性チェックサムの値、つまり、「ダイジェスト」を生成します。AH モジュールは、認証アルゴリズムを使用します。ESP モジュールも、認証アルゴリズムを使用します。

IPsec での暗号化アルゴリズム

暗号化アルゴリズムは、キーでデータを暗号化します。 IPsec の ESP モジュールは、暗号化アルゴリズムを使用します。暗号化アルゴリズムでは、「ブロックサイズ」ごとにデータを処理します。

デフォルトで使用される暗号化アルゴリズムは、Solaris 10 OS のリリースによって異なります。

注意 –

Solaris 10 7/07 リリース以降では、システムに Solaris Encryption Kit を追加しないでください。このキットはシステムにおける暗号化のパッチレベルを低下させます。このキットはシステム上の暗号化と互換性がありません。

Solaris 10 7/07 リリース以降では、Solaris Encryption Kit の内容は Solaris インストールメディアによってインストールされます。このリリースでは、SHA2 認証アルゴリズム sha256、sha384、および sha512 が追加されています。SHA2 の実装は RFC 4868 仕様に適合しています。このリリースでは、Diffie-Hellman グループ 2048 ビット (グループ 14)、3072 ビット (グループ 15)、および 4096 ビット (グループ 16) も追加されています。ただし、CoolThreads テクノロジを備えた Sun システムでは、2048 ビットグループだけが高速化されます。
Solaris 10 7/07 より前のリリースでは、Solaris インストールメディアによって基礎アルゴリズムが提供され、ユーザーは Solaris Encryption Kit からより強固なアルゴリズムを追加できます。

デフォルトでは、DES-CBC、3DES-CBC、AES-CBC、および Blowfish-CBC アルゴリズムがインストールされます。AES-CBC および Blowfish-CBC アルゴリズムがサポートするキーの大きさは、128 ビットに限られています。

Solaris Encryption Kit をインストールすると、128 ビットより大きいキーをサポートする AES-CBC および Blowfish-CBC アルゴリズムを IPsec で使用できます。ただし、米国以外では、すべての暗号化アルゴリズムを使用できるとは限りません。このキットは、Solaris 10 インストールボックスには含まれていない別の CD から入手できます。『Solaris 10 Encryption Kit Installation Guide』に、このキットのインストール方法が説明されています。詳細は、Sun ダウンロード Web サイトを参照してください。キットをダウンロードするには、「Downloads A-Z」タブをクリックし、文字「S」をクリックします。Solaris 10 Encryption Kit は最初の 20 エントリの中にあります。