IPsec と IKE の管理

用語集

この用語集は、ネットワークセキュリティの用語を定義します。

3DES

Triple-DES」を参照。

AES

Advanced Encryption Standard。対称 128 ビットブロックのデータ暗号技術。米国政府は、2000 年の 10 月に暗号化標準として Rijndael 方式を採用した。DES に代わる米国政府の標準として、AES が採用されている。

Blowfish

32 ビットから 448 ビットまでの可変長キーの対称ブロックの暗号化アルゴリズム。その作成者である Bruce Schneier 氏は、鍵を頻繁に変更しないアプリケーションに効果的であると述べている。

CA

認証局 (CA)」を参照。

DES

Data Encryption Standard。1975 年に開発され、1981 年に ANSI X.3.92 として ANSI で標準化された対称鍵の暗号化方式。DES では 56 ビットのキーを使用する。

DSA

デジタル署名アルゴリズム。512 ビットから 4096 ビットまでの可変長キーの公開鍵アルゴリズム。米国政府標準である DSS は最大 1024 ビットである。DSA は、入力に SHA-1 を使用する。

Diffie-Hellman プロトコル

公開鍵暗号化としても知られている。1976 年に Diffie 氏と Hellman 氏が開発した非対称暗号鍵協定プロトコル。このプロトコルを使用して、セキュリティ保護されていない媒体で事前に秘密鍵を用意しなくても 2 人のユーザーが秘密鍵を交換できる。Diffie-Hellman は、IKE プロトコルで使用される。

HMAC

メッセージ認証を行うためのキー付きハッシュ方法。HMAC は秘密鍵認証アルゴリズムの 1 つである。HMAC は秘密共有鍵と併用して、MD5 、SHA-1 などの繰り返し暗号化のハッシュ関数で使用する。HMAC の暗号の強さは、基底ハッシュ関数のプロパティによって異なる。

IKE

インターネットキー交換。IPsec セキュリティアソシエーション (SA) の認証されたキー情報を自動的に提供する。

IP データグラム

IP 経由で転送される情報パケット。IP データグラムはヘッダーとデータを持つ。ヘッダーにはデータグラムのソースと宛先のアドレスが含まれる。ヘッダーのその他のフィールドには、複数のデータグラムを宛先で識別し、再結合するための情報が含まれる。

IP 内 IP カプセル化

IP パケット内で IP パケットをトンネリングするための機構。

IPsec

IP データグラムを保護するための IP セキュリティアーキテクチャ。

IPv4

インターネットプロトコルバージョン 4。IP とも呼ばれる。このバージョンは 32 ビットのアドレス空間を提供する。

IPv6

インターネットプロトコルバージョン 6。このバージョンは 128 ビットのアドレス空間を提供する。

MD5

デジタル署名などのメッセージ認証に使用する繰り返し暗号化のハッシュ関数。1991 年に Rivest 氏によって開発された。

PKI

Public Key Infrastructure。インターネットトランザクションに関係する各関係者の有効性を確認および承認する、デジタル署名、認証局、他の登録機関のシステム。

RSA

デジタル署名と公開鍵暗号化システムを取得するための方法。1978 年に最初に公開され、 Rivest氏、Shamir 氏、Adleman 氏によって開発された。

SA

セキュリティアソシエーション (SA)」 を参照

SADB

セキュリティアソシエーションデータベース。暗号化鍵と暗号化アルゴリズムを指定するテーブル。鍵とアルゴリズムは、安全なデータ転送で使用される。

SHA-1

セキュリティ保護されたハッシュアルゴリズム。メッセージ要約を作成するために 264 文字以下の長さを入力するときに操作する。SHA-1 アルゴリズムは DSA に入力される。

SPI

セキュリティパラメータインデックス (SPI)」を参照。

Triple-DES

Triple-Data Encryption Standard。対称鍵暗号化システムの 1 つ。Triple-DES で使用する鍵の長さは 168 ビット。 Triple-DES を「3DES」と表記することもある。

鍵管理

セキュリティアソシエーション (SA) を管理するための手法。

仮想プライベートネットワーク (VPN)

インターネットのような公共ネットワーク内でトンネルを利用する、単独の、安全で論理的なネットワーク。

カプセル化

ヘッダーとペイロードを 1 番目のパケット内に配置し、そのパケットを 2 番目のパケットのペイロード内に配置すること。

キーストア名

管理者がネットワークインタフェースカード (NIC) 上の記憶領域やキーストアに付与する名前。キーストア名は、「トークン」、「トークン ID」とも呼ばれる。

公開鍵暗号化

2 つの鍵を使用する暗号化システム。公開鍵はだれでも知ることができる。非公開鍵は、メッセージの受信者だけが知っている。IKE により、IPsec の公開鍵が提供される。

証明書無効リスト (CRL)

CA が無効とした公開鍵証明書のリスト。

セキュリティアソシエーション (SA)

1 つのホストから 2 番目のホストに、セキュリティ属性を指定するアソシエーション。

セキュリティパラメータインデックス (SPI)

受信したパケットを復号化するために使用する、SADB (セキュリティアソシエーションデータベース) 内の行を特定する整数値。

セキュリティペイロードのカプセル化 (ESP)

データグラムに対して認証と完全性を提供する拡張ヘッダー。

専用アドレス

インターネット経由で経路指定ができない IP アドレス。

双方向トンネル

双方向にデータグラムを送信するトンネル。

対称鍵暗号化

メッセージの暗号解除に、メッセージの送受信側が単一の共通鍵を使用する暗号化システム。対称鍵は、IPsec での大量データ転送の暗号化に使用する。対称鍵システムの一例として DES がある。

デジタル署名

送信側を一意に識別する、電子的に転送されたメッセージに添付されるデジタルコード。

トンネル

カプセル化される間データグラムが通過するパス。

認証局 (CA)

デジタル署名および公開鍵と非公開鍵のペアの作成に使用するデジタル証明書を発行する、公証された第三者機関または企業。CA は、一意の証明書を付与された個人が当該の人物であることを保証する。

認証ヘッダー

IP データグラムに対し認証と完全性を提供する拡張ヘッダー。機密性は提供されない。

ネットワークインタフェースカード (NIC)

リンクとのインタフェースになる、内部ネットワークアダプタまたは独立したネットワークアダプタカード。たとえば、Sun Crypto Accelerator 4000 ボードは NIC の 1 つである。

ノード

ホストまたはルーター。

パケット

通信回線上で、1 単位として送られる情報の集合。ヘッダーとペイロードを持つ。

ハッシュ値

テキストの文字列から生成される数値。ハッシュ関数は、転送されるメッセージが改ざんされないようにするために使用する。ハッシュ関数として、MD5SHA-1 などがある。

非対称鍵暗号化

メッセージの送受信側で異なる鍵 (キー) を使用してメッセージの暗号化および暗号解除を行う暗号化システム。非対称鍵を使用して、対称鍵暗号に対するセキュリティ保護されたチャネルを作成する。非対称鍵プロトコルの一例には、Diffie–Hellman がある。対称鍵暗号化と対比。

ファイアウォール

組織内の私的ネットワークまたはイントラネットを、インターネットなどの外部ネットワークからの侵入に対して保護する装置またはソフトウェア。

物理インタフェース

リンクに対するノードの接続。この接続は通常、デバイスドライバとネットワークアダプタとして実装される。ネットワークアダプタによっては、qfe のように複数の接続点を持つ場合もある。このマニュアルでは、「ネットワークアダプタ」は「単一接続点」を示す。

ペイロード

パケットで伝送されるデータ。ペイロードには、パケットを宛先に送るために必要なヘッダー情報は含まれない。

マルチキャストアドレス

特定の方法でインタフェースのグループを特定する IP アドレス。マルチキャストアドレスに送信されるパケットは、グループにあるすべてのインタフェースに配信される。

メッセージ認証コード (MAC)

データの整合性を保証し、データの出所を明らかにするコード。MAC は盗聴行為には対応できない。