リンク・レベルの暗号化

リンク・レベルの暗号化 (LLE: Link-Level Encryption) は、ATMI アプリケーション内のマシン間をつなぐネットワーク・リンク上で送受信されるメッセージの秘密性を保護します。また、対称鍵による暗号化技術である RC4 を使用します。RC4 では、暗号化と復号化の際に同じ鍵を使用します。

LLE を使用する場合、BEA Tuxedo システムは、データを暗号化してからネットワーク・リンク上に送信し、データがネットワーク・リンクを離れると復号化します。システムは、データが通過するすべてのリンクで、この暗号化/復号化プロセスを繰り返します。したがって、LLE はポイント・ツー・ポイント機能と呼ばれます。

LLE は、ATMI アプリケーションの次の種類のリンクで使用できます。

LLE によるセキュリティには、0 ビット (暗号化なし)、56 ビット (国際版)、128 ビット (米国およびカナダ版) の 3 つのレベルがあります。国際版の LLE では、0 ビットと 56 ビットの暗号化が可能です。米国およびカナダ版の LLE では、0 ビット、56 ビット、および 128 ビットの暗号化が可能です。

LLE のしくみ

LLE の制御パラメータおよび基本となる通信プロトコルは、リンクの種類によって異なります。ただし、以下の点では基本的に同じです。

以降の説明では、上記の 2 つのパラメータを (min, max) の形式で表記します。たとえば、あるプロセスの値が (56, 128) の場合は、56 ビットから 128 ビットまでの暗号化がサポートされることを示します。

暗号化キー・サイズの調整

ネットワーク・リンクの両端にある 2 つのプロセスが通信し合うには、まず、これらのプロセスの暗号化キーのサイズが合っていなければなりません。これは、次の 2 段階の手順で確認されます。

min-max 値の決定

2 つのプロセスのうち、どちらかが起動すると、BEA Tuxedo のローカル・ソフトウェアは、(1) lic.txt ファイルの LLE 情報を参照して、インストール済みの LLE のバージョンのビット暗号化機能をチェックし、(2) 両方のプロセスのコンフィギュレーション・ファイルで指定されている、特定の種類のリンクでの LLE の min-max 値をチェックします。続いて、ローカル・ソフトウェアは、次の処理を実行します。

共通のキー・サイズの検索

2 つのプロセスの min-max 値が決まると、キー・サイズの調整が開始します。この調整プロセスを暗号化したり、見えないようにする必要はありません。調整されたキー・サイズは、ネットワーク接続が確立されている間は有効です。

次の表は、2 つのプロセス間で可能な min-max 値のすべての組み合わせを調整した結果のキー・サイズを示しています。上段のヘッダ行は、2 つのプロセスのうち、片方のプロセスの min-max 値を示しています。左側の列は、もう一方のプロセスの min-max 値を示しています。

プロセス間の調整の結果

	(0, 0)	(0, 56)	(0, 128)	(56, 56)	(56, 128)	(128, 128)
(0, 0)	0	0	0	エラー	エラー	エラー
(0, 56)	0	56	56	56	56	エラー
(0, 128)	0	56	128	56	128	128
(56, 56)	エラー	56	56	56	56	エラー
(56, 128)	エラー	56	128	56	128	128
(128, 128)	エラー	エラー	128	エラー	128	128

 

BEA Tuxedo 製品の ATMI 環境では、LLE の旧バージョンとの互換性がサポートされています。

BEA Tuxedo リリース 6.5 との相互運用性

次の表は、ATMI アプリケーションの 2 つのプロセスのうち、片方がリリース 6.5 で動作しており、もう一方がリリース 7.1 以上で動作しているときの、調整結果のキー・サイズを示しています。上段のヘッダ行は、リリース 7.1 以上で動作するプロセスの min-max 値を示しています。左側の列は、リリース 6.5 で動作するプロセスの min-max 値を示しています。

BEA Tuxedo リリース 6.5 と相互運用するときのキー・サイズの調整結果

	(0, 0)	(0, 56)	(0, 128)	(56, 56)	(56, 128)	(128, 128)
(0, 0)	0	0	0	エラー	エラー	エラー
(0, 40)	0	56	56	56	56	エラー
(0, 128)	0	56	128	56	128	128
(40, 40)	エラー	56	56	56	56	エラー
(40, 128)	エラー	56	128	56	128	128
(128, 128)	エラー	エラー	128	エラー	128	128

 

この調整結果は、2 つのサイトで共にリリース 6.5 が動作しており、LLE のレベルが 40 ビットに設定されている場合の結果と同じです。どちらの場合も、調整を行うと、56 に自動的にアップグレードされます。

BEA Tuxedo リリース 6.5 より前のバージョンとの相互運用性

次の表は、ATMI アプリケーションの 2 つのプロセスのうち、片方がリリース 6.5 より前のバージョンで動作しており、もう一方がリリース 7.1 以上で動作しているときの、調整結果のキー・サイズを示しています。上段のヘッダ行は、リリース 7.1 以上で動作するプロセスの min-max 値を示しています。左側の列は、リリース 6.5 より前のバージョンで動作するプロセスの min-max 値を示しています。

BEA Tuxedo リリース 6.5 より前のバージョンと相互運用するときのキー・サイズの調整結果

	(0, 0)	(0, 56)	(0, 128)	(56, 56)	(56, 128)	(128, 128)
(0, 0)	0	0	0	エラー	エラー	エラー
(0, 40)	0	40	40	エラー	エラー	エラー
(0, 128)	0	40	128	エラー	128	128
(40, 40)	エラー	40	40	エラー	エラー	エラー
(40, 128)	エラー	40	128	エラー	128	128
(128, 128)	エラー	エラー	128	エラー	128	128

 

現在インストールされている BEA Tuxedo が (56, 56)、(56, 128)、または (128, 128) に設定されていると、LLE の最大レベルが 40 に設定されている、ATMI アプリケーションのリリース 6.5 より前のバージョンとは相互運用できません。共通のキー・サイズを調整しようとしてもできません。

初期化時の WSL および WSH の接続タイムアウト

LLE のインストールとライセンス供与

LLE ソフトウェアは、BEA Tuxedo システムの一部として、BEA Tuxedo CD-ROM に収められています。米国およびカナダで LLE を使用するための BEA Tuxedo リリース 7.1 のライセンスが供与されている場合、56 ビットまたは 128 ビットの暗号化が可能です。米国およびカナダ以外で LLE を使用するための BEA Tuxedo リリース 7.1 のライセンスが供与されている場合、56 ビットの暗号化が可能です。

BEA Tuxedo のライセンスは、UNIX ホスト・マシンの場合は $TUXDIR/udataobj/lic.txt ファイル、Windows ホスト・マシンの場合は %TUXDIR%¥udataobj¥lic.txt ファイルにすべて格納されています。

次のリストは、米国およびカナダで LLE を実行するためのライセンス・ファイルのサンプルからの抜粋です。

[BEA Tuxedo]
VERSION=8.0
LICENSEE=ACME CORPORATION
SERIAL=155566678
ORDERID=
USERS=1000
EXPIRATION=2000-01-31
SIGNATURE=TXmtx+AhQdJgr3sjjznBqRB7SP9Jgr3UzAKctjz+e6RmsFSAhUAhStj
   znBQdL9n=

[LINK ENCRYPTION]
VERSION=8.0
LICENSEE=ACME CORPORATION
SERIAL=155566678
ORDERID=
USERS=1000
STRENGTH=128
EXPIRATION=2000-01-31
SIGNATURE=TXUAhSPnx2C9kMC0CFG+e6Rgr3UzmsFKRBPdJASAhU7KctjznBqFQsj
   jznBdh0h=
   .
   .
   .

関連項目