既存の事前共有鍵を更新する方法

この手順では、既存の事前共有鍵を変更するものとします。3DES、AES、Blowfish などの強力な暗号化アルゴリズムを使用すると、両方のシステムのリブート時に備えて、鍵を変更するスケジュールを作成できる場合があります。この手順は、トラフィックの保護に DES などのアルゴリズムを使用するシステムに適用されます。

1. システムコンソールからスーパーユーザーになります。

   ---

   注 –

   リモートログインすると、セキュリティ上重要なトラフィックが盗聴される恐れがあります。何らかの方法でリモートログインを保護していても、システム全体のセキュリティがリモートログインセッションレベルに低下します。

   ---

2. ランダム鍵を生成してそれらのいずれか 1 つを選択します。

   Solaris システムでは、od コマンドを使用できます。

   # od -x </dev/random | head -2 0000000 305e c563 69ca 62c2 ae80 4690 c571 3e18 0000020 be43 9533 d50f ec49 c7fe cf3c 8f13 91c0

3. システムごとに /etc/inet/secret/ike.preshared ファイルを編集して、現在の鍵を新しい鍵に変更します。

   たとえば、enigma と partym のホストでは、key の値を be439533d50fec49c7fecf3c8f1391c0 のような新しい番号に変更します。

4. in.iked デーモンがキー情報の変更を許可するかどうか確認します。

   # /usr/sbin/ikeadm get priv Current privilege level is 0x2, access to keying material enabled

   コマンドから 0x1 または 0x2 の権限レベルが戻された場合には、キー情報を変更できます。レベル 0x0 の場合には、キー情報を操作できません。デフォルトでは、in.iked デーモンは 0x0 の権限レベルで実行されます。

5. in.iked デーモンを実行してキー情報を変更できるようにするには、ike.preshared ファイルの新しいバージョンを読み取ります。

   たとえば、次のように指定します。

   # ikeadm read preshared

6. in.iked デーモンを実行してキー情報を変更できないようにするには、そのデーモンを消去してから再起動します。

   そのデーモンを開始すると、ike.preshared ファイルの新しいバージョンを読み取ります。

   たとえば、次のように指定します。

   # pkill in.iked # /usr/lib/inet/in.iked