Solaris 10 5/09 リリースでは、次のセキュリティー機能と拡張機能が追加されました。
Solaris 10 5/09 リリースには、IPsec NAT (Network Address Translator) トラバーサルエンドポイントとして機能するユーザーデータグラムプロトコル (UDP) ソケット用の公開 API が含まれています。
UDP_NAT_T_ENDPOINT ソケットオプションを有効にすると、UDP トラフィックの送信トラフィックには先頭に 4 バイトの 0 セキュリティーパラメータインデックス (SPI) 値が付加され、受信トラフィックの 0 SPI は取り除かれます。0 以外の SPI を持つこのようなソケット宛の受信トラフィックは、ESP の UDP カプセル化解除のために IPsec のカプセル化セキュリティーペイロード (ESP) に自動的に転送されます。ESP の UDP カプセル化は、IPsec セキュリティーアソシエーション (SA) のプロパティーによって決定されます。
この機能により、IPsec キー管理ソフトウェアの開発者は、NAT デバイスを通過できるキー管理プロトコルを作成することができます。iked(1M) の Solaris IKE デーモンではこの機能が使用され、このようなソケットは pfiles(1M) コマンドを使用して表示されます。
Solaris 10 5/09 リリースでは、IPsec と IKE に次のアルゴリズムが導入されています。
2048 ビット、3072 ビット、および 4096 ビットを含む、より大きいサイズの 3 つの Diffie-Hellman 整数モジュラスグループ – より大きいサイズの Diffie-Hellman グループを IKE フェーズ 1 とフェーズ 2 で使用できます。RFC 3526 に従って、2048 ビットグループはグループ番号 14、3072 ビットグループはグループ番号 15、4096 ビットグループはグループ番号 16 で指定されます。
SHA256、SHA384、SHA512 を含む SHA-2 シリーズのハッシュ – HMAC を使用する SHA-2 を、対話中に IPsec の認証ヘッダー (AH) と ESP、および IKE に使用できます。SHA-2 は RFC 4868 に従って IPsec で使用され、ICV の長さは SHA256 では 16 バイト、SHA384 では 24 バイト、SHA512 では 32 バイトに切り捨てられます。
SHA-2 は ikecert(1M) で生成された証明書には使用できません。
この機能により、SunSSH サーバーとクライアントは、OpenSSL PKCS#11 エンジンを介して Solaris 暗号化フレームワークを使用できます。SunSSH は暗号化フレームワークを使用して、データ転送速度にとって重要な対称暗号化アルゴリズムのハードウェア暗号化の高速化を行います。この機能は、n2cp(7D) 暗号化ドライバを使用する UltraSPARC® T2 プロセッサプラットフォームを対象としています。
ncp(7D) ドライバは対称暗号化アルゴリズムをサポートしていないため、UltraSPARC T1 プロセッサプラットフォームはこの機能の影響を受けません。ハードウェア暗号化プラグインを使用しないプラットフォームは、UseOpenSSLEngine オプションに設定されている値にかかわらず、この機能の影響を受けません。UseOpenSSLEngine オプションのデフォルト値はオンに設定されています。サーバーとクライアントの SSH 構成ファイルを更新する必要はありません。
SunSSH は、Sun Crypto Accelerator 6000 ボードのソフトウェアバージョン 1.1 に次のパッチをインストールして使用するようにしてください。
128365-02 (SPARC システム用)
128366-02 (x86 システム用)
Sun Crypto Accelerator 6000 ボードのソフトウェアバージョン 1.0 にはパッチが用意されていません。この問題を回避するには、サーバー側とクライアント側の両方で、暗号化方式オプションのキーワードから AES カウンタモードを削除してください。
詳細は、ssh_config(4) および sshd_config(4) のマニュアルページを参照してください。