IKE の概要

インターネットキー交換 (IKE) デーモン in.iked(1M) では、保護された方法でセキュリティアソシエーションのキー情報のネゴシエーションと認証を行います。また、SunOS^TM によって提供される内部機能からキーのランダムシードを使用します。IKE は、PFS (Perfect Forward Secrecy) をサポートしています。つまり、データ伝送を保護するキーを使用しないで追加キーを取得し、データ伝送のキーの作成に使用するシードを再利用しません。

IKE デーモンでリモートホストの公開暗号鍵が検出されると、ローカルシステムでは暗号鍵が検出されたリモートホスト宛てのメッセージを暗号化できます。IKE デーモンでは、そのジョブを交換と呼ばれる 2 つのフェーズで実行します。

フェーズ 1 交換

フェーズ 1 交換はメインモードといいます。フェーズ 1 交換では、IKE は公開鍵暗号方式を使用して、ピア IKE エンティティによる IKE 自体を認証します。その結果が ISAKMP (Internet Security Association and Key Management Protocol) セキュリティアソシエーションで、IKE で IP データグラムのキー情報のネゴシエーションを行うためのセキュリティ保護されたチャネルとなります。IPsec SA とは異なり、ISAKMP セキュリティアソシエーションは双方向であるため、1 つだけ必要です。

IKE でキー情報のネゴシエーションを行う方法は、フェーズ 1 交換で設定可能です。IKE では、/etc/inet/ike/config ファイルから設定情報を読み取ります。設定情報には、影響するインタフェース、使用するアルゴリズム、認証方式、および PFS 使用の有無が含まれています。認証方式には、事前共有鍵と公開鍵証明書の 2 つがあります。 公開鍵証明書は自己署名付きにするか、PKI (Public Key Infrastructure) ベンダーから 認証局 (CA) によって発行できます。 ベンダーには、iPlanet^TM Certificate Management System、Entrust、および Verisign があります。

フェーズ 2 交換

フェーズ 2 交換はクイックモードといいます。フェーズ 2 交換では、IKE は IKE デーモンを実行するホスト間の IPsec SA を作成および管理します。また、フェーズ 1 で作成したセキュリティ保護されたチャネルを使用して、キー情報の伝送を保護します。IKE デーモンでは、乱数発生関数 (/dev/random) によってキーを作成してキーを一定の割合で更新し (構成可能)、キー情報を IPsec ポリシー構成ファイルで指定したアルゴリズムに提供します。