IKE の概要
インターネットキー交換 (IKE) デーモン in.iked(1M) では、保護された方法でセキュリティアソシエーションのキー情報のネゴシエーションと認証を行います。また、SunOSTM によって提供される内部機能からキーのランダムシードを使用します。IKE は、PFS (Perfect Forward Secrecy) をサポートしています。PFS では、データ伝送を保護するキーを使用しないで追加キーを取得し、データ伝送のキーの作成に使用するシードを再利用しません。
IKE デーモンによってリモートホストの公開暗号鍵が検出されると、ローカルシステムではその鍵を使用できるようになります。ローカルシステムは、リモートホストの公開鍵を使用してメッセージを暗号化します。メッセージを読み取れるのは、このリモートホストだけです。IKE デーモンでは、そのジョブを交換と呼ばれる 2 つのフェーズで実行します。
フェーズ 1 交換
フェーズ 1 交換はメインモードといいます。フェーズ 1 交換では、IKE は公開鍵暗号方式を使用して、ピア IKE エンティティによる IKE 自体を認証します。その結果が ISAKMP (Internet Security Association and Key Management Protocol) セキュリティアソシエーションで、IKE で IP データグラムのキー情報のネゴシエーションを行うためのセキュリティ保護されたチャネルとなります。IPsec SA とは異なり、ISAKMP セキュリティアソシエーションは双方向であるため、1 つだけ必要です。
IKE でキー情報のネゴシエーションを行う方法は、フェーズ 1 交換で設定可能です。IKE では、/etc/inet/ike/config ファイルから設定情報を読み取ります。設定情報には、影響するインタフェース、使用するアルゴリズム、認証方式、および PFS 使用の有無が含まれています。認証方式には、事前共有鍵と公開鍵証明書の 2 つがあります。公開鍵証明書は、自己署名付きにすることも、PKI (Public Key Infrastructure) 機関から認証局 (CA) によって発行することもできます。PKI 機関には、SunTM Open Net Environment (Sun ONE) Certificate Server、Entrust、および Verisign があります。
フェーズ 2 交換
フェーズ 2 交換はクイックモードといいます。フェーズ 2 交換では、IKE は IKE デーモンを実行するホスト間の IPsec SA を作成および管理します。また、フェーズ 1 で作成したセキュリティ保護されたチャネルを使用して、キー情報の伝送を保護します。IKE デーモンは、/dev/random を使用して乱数発生関数からキーを作成します。また、IKE デーモンは、キーを一定の割合 (構成可能) で更新します。このキー情報は、IPsec ポリシーの構成ファイルに指定されているアルゴリズムによって使用されます。
- © 2010, Oracle Corporation and/or its affiliates