B データ暗号化および整合性パラメータ

sqlnet.oraファイルには、データ暗号化および整合性パラメータがあります。

• データ暗号化および整合性のsqlnet.oraの使用について
  データの暗号化および整合性を構成するためのガイドラインとして、デフォルト・パラメータ設定を使用できます。
• サンプルsqlnet.oraファイル
  sqlnet.ora構成ファイルのサンプルは、似た特性を持つ一連のクライアントと似た特性を持つ一連のサーバーに基づいています。
• データ暗号化および整合性パラメータ
  Oracleには、sqlnet.oraファイルで設定できるデータおよび整合性のパラメータがあります。

データ暗号化および整合性のsqlnet.oraの使用について

データの暗号化および整合性を構成するためのガイドラインとして、デフォルト・パラメータ設定を使用できます。

このsqlnet.oraファイルは、「Oracle Databaseのネイティブ・ネットワーク暗号化とデータ整合性の構成」および「Secure Sockets Layer認証の構成」で説明したネットワーク構成を実行すると生成されます。暗号化およびデータ整合性パラメータも用意されています。

サンプルsqlnet.oraファイル

sqlnet.ora構成ファイルのサンプルは、似た特性を持つ一連のクライアントと似た特性を持つ一連のサーバーに基づいています。

このファイルには、Oracle Databaseの暗号化とデータ整合性のパラメータの例が含まれています。

デフォルトでは、sqlnet.oraファイルは、ORACLE_HOME/network/adminディレクトリ、またはTNS_ADMIN環境変数によって設定されている場所にあります。TNS_ADMIN変数が正しいsqlnet.oraファイルを指定するように適切に設定されていることを確認します。TNS_ADMIN変数の詳細および設定例は、『SQL*Plusユーザーズ・ガイドおよびリファレンス』を参照してください。

トレース・ファイルの設定

#Trace file setup 
trace_level_server=16 
trace_level_client=16  
trace_directory_server=/orant/network/trace 
trace_directory_client=/orant/network/trace 
trace_file_client=cli  
trace_file_server=srv 
trace_unique_client=true 

Oracle Databaseのネイティブ・ネットワーク暗号化

sqlnet.encryption_server=accepted 
sqlnet.encryption_client=requested 
sqlnet.encryption_types_server=(RC4_40) 
sqlnet.encryption_types_client=(RC4_40) 

Oracle Databaseのネットワーク・データ整合性

#ASO Checksum 
sqlnet.crypto_checksum_server=requested 
sqlnet.crypto_checksum_client=requested  
sqlnet.crypto_checksum_types_server = (SHA256) 
sqlnet.crypto_checksum_types_client = (SHA256) 

Secure Socket Layer

#SSL 
WALLET_LOCATION = (SOURCE=
                   (METHOD = FILE) 
                      (METHOD_DATA = 
                         DIRECTORY=/wallet) 

SSL_CIPHER_SUITES=(SSL_DH_anon_WITH_RC4_128_MD5) 
SSL_VERSION= 3 
SSL_CLIENT_AUTHENTICATION=FALSE 

Common

#Common
automatic_ipc = off
sqlnet.authentication_services = (beq)
names.directory_path = (TNSNAMES)

Kerberos

#Kerberos 
sqlnet.authentication_services = (beq, kerberos5)
sqlnet.authentication_kerberos5_service = oracle
sqlnet.kerberos5_conf= /krb5/krb.conf
sqlnet.kerberos5_keytab= /krb5/v5srvtab
sqlnet.kerberos5_realms= /krb5/krb.realm
sqlnet.kerberos5_cc_name = /krb5/krb5.cc
sqlnet.kerberos5_clockskew=900
sqlnet.kerberos5_conf_mit=false

RADIUS

#Radius
sqlnet.authentication_services = (beq, RADIUS )
sqlnet.radius_authentication_timeout = (10)
sqlnet.radius_authentication_retries = (2)
sqlnet.radius_authentication_port = (1645)
sqlnet.radius_send_accounting = OFF
sqlnet.radius_secret = /orant/network/admin/radius.key
sqlnet.radius_authentication = radius.us.example.com
sqlnet.radius_challenge_response = OFF
sqlnet.radius_challenge_keyword = challenge
sqlnet.radius_challenge_interface =
oracle/net/radius/DefaultRadiusInterface
sqlnet.radius_classpath = /jre1.1/

データ暗号化および整合性パラメータ

Oracleには、sqlnet.oraファイルで設定できるデータおよび整合性のパラメータがあります。

• データ暗号化および整合性パラメータについて
  データ暗号化および整合性パラメータは、使用する暗号化アルゴリズムのタイプを制御します。
• SQLNET.ENCRYPTION_SERVER
  SQLNET.ENCRYPTION_SERVERパラメータでは、クライアントまたはクライアントとして機能しているサーバーがこのサーバーに接続する際の暗号化動作を指定します。
• SQLNET.ENCRYPTION_CLIENT
  SQLNET.ENCRYPTION_CLIENTパラメータでは、このクライアントまたはクライアントとして機能しているサーバーがサーバーに接続する際の暗号化動作を指定します。
• SQLNET.CRYPTO_CHECKSUM_SERVER
  SQLNET.CRYPTO_CHECKSUM_SERVERパラメータでは、クライアントまたはクライアントとして機能している別のサーバーがこのサーバーに接続する際のデータ整合性動作を指定します。
• SQLNET.CRYPTO_CHECKSUM_CLIENT
  SQLNET.CRYPTO_CHECKSUM_CLIENTパラメータでは、このクライアントまたはクライアントとして機能しているサーバーがサーバーに接続する際のデータ整合性動作を指定します。
• SQLNET.ENCRYPTION_TYPES_SERVER
  SQLNET.ENCRYPTION_TYPES_SERVERパラメータでは、このサーバーで使用する暗号化アルゴリズムをアルゴリズムの使用順に指定します。
• SQLNET.ENCRYPTION_TYPES_CLIENT
  SQLNET.ENCRYPTION_TYPES_CLIENTパラメータでは、このクライアントまたはクライアントとして機能しているサーバーで使用する暗号化アルゴリズムを指定します。
• SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
  SQLNET.CRYPTO_CHECKSUM_TYPES_SERVERパラメータでは、このサーバーまたは別のサーバーのクライアントで使用するデータ整合性アルゴリズムをアルゴリズムの使用順に指定します。
• SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
  SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTパラメータでは、このクライアントまたはクライアントとして機能しているサーバーで使用するデータ整合性アルゴリズムのリストを指定します。

データ暗号化および整合性パラメータについて

データ暗号化および整合性パラメータは、使用する暗号化アルゴリズムのタイプを制御します。

サーバー暗号化、クライアント暗号化、サーバー・チェックサムまたはクライアント・チェックサムの値を指定しない場合、対応する構成パラメータはsqlnet.oraファイルに含まれません。ただし、デフォルトはACCEPTEDです。

データ暗号化と整合性の両方のアルゴリズムでは、サーバーは、そのサーバーのsqlnet.oraファイル内のアルゴリズムのうち、クライアントのsqlnet.oraファイル、またはクライアントのsqlnet.oraファイルにアルゴリズムがリストされていない場合はクライアントのインストール済リストにリストされているアルゴリズムに、最初に一致するものを選択します。サーバーのsqlnet.oraファイルにエントリがない場合、サーバーはそのインストール済リストを順に検索して、クライアント側(クライアントのsqlnet.oraファイルまたはクライアントのインストール済リスト)の項目と照合します。一致するアルゴリズムが見つからず、接続の一方でアルゴリズムのタイプ(データ暗号化または整合性)がREQUIREDである場合、接続は失敗します。 それ以外の場合、接続はアルゴリズムのタイプinactiveで成功します。

データ暗号化と整合性のアルゴリズムは、互いに独立して選択されます。表B-1に示すように、暗号化は整合性なしでアクティブにでき、整合性は暗号化なしでアクティブにできます。

表B-1 アルゴリズムのタイプの選択

暗号化の選択	整合性の選択
はい	いいえ
はい	はい
いいえ	はい
いいえ	いいえ

SQLNET.ENCRYPTION_SERVER

SQLNET.ENCRYPTION_SERVERパラメータでは、クライアントまたはクライアントとして機能しているサーバーがこのサーバーに接続する際の暗号化動作を指定します。

サーバーの動作は、接続の相手側のSQLNET.ENCRYPTION_CLIENTの設定に部分的に依存します。

表B-2では、SQLNET.ENCRYPTION_SERVERパラメータの属性について説明します。

表B-2 SQLNET.ENCRYPTION_SERVERパラメータの属性

属性	説明
構文	SQLNET.ENCRYPTION_SERVER = valid_value
有効な値	ACCEPTED、REJECTED、REQUESTED、REQUIRED
デフォルト設定	ACCEPTED

関連項目:

SQLNET.ENCRYPTION_SERVERパラメータの詳細は、『Oracle Database Net Servicesリファレンス』を参照してください。

SQLNET.ENCRYPTION_CLIENT

SQLNET.ENCRYPTION_CLIENTパラメータでは、このクライアントまたはクライアントとして機能しているサーバーがサーバーに接続する際の暗号化動作を指定します。

クライアントの動作は、接続の相手側のSQLNET.ENCRYPTION_SERVERの設定値に部分的に依存します。

表B-3では、SQLNET.ENCRYPTION_CLIENTパラメータの属性について説明します。

表B-3 SQLNET.ENCRYPTION_CLIENTパラメータの属性

属性	説明
構文	SQLNET.ENCRYPTION_CLIENT = valid_value
有効な値	ACCEPTED、REJECTED、REQUESTED、REQUIRED
デフォルト設定	ACCEPTED

関連項目:

SQLNET.ENCRYPTION_CLIENTパラメータの詳細は、『Oracle Database Net Servicesリファレンス』を参照してください。

SQLNET.CRYPTO_CHECKSUM_SERVER

SQLNET.CRYPTO_CHECKSUM_SERVERパラメータでは、クライアントまたはクライアントとして機能している別のサーバーがこのサーバーに接続する際のデータ整合性動作を指定します。

動作は、接続の相手側のSQLNET.CRYPTO_CHECKSUM_CLIENTの設定に部分的に依存します。

表B-4では、SQLNET.CRYPTO_CHECKSUM_SERVERパラメータの属性について説明します。

表B-4 SQLNET.CRYPTO_CHECKSUM_SERVERパラメータの属性

属性	説明
構文	SQLNET.CRYPTO_CHECKSUM_SERVER = valid_value
有効な値	ACCEPTED、REJECTED、REQUESTED、REQUIRED
デフォルト設定	ACCEPTED

関連項目:

SQLNET.CRYPTO_CHECKSUM_SERVERパラメータの詳細は、『Oracle Database Net Servicesリファレンス』を参照してください。

SQLNET.CRYPTO_CHECKSUM_CLIENT

SQLNET.CRYPTO_CHECKSUM_CLIENTパラメータでは、このクライアントまたはクライアントとして機能しているサーバーがサーバーに接続する際のデータ整合性動作を指定します。

動作は、接続の相手側のSQLNET.CRYPTO_CHECKSUM_SERVERの設定に部分的に依存します。

表B-5では、SQLNET.CRYPTO_CHECKSUM_CLIENTパラメータの属性について説明します。

表B-5 SQLNET.CRYPTO_CHECKSUM_CLIENTパラメータの属性

属性	説明
構文	SQLNET.CRYPTO_CHECKSUM_CLIENT = valid_value
有効な値	ACCEPTED、REJECTED、REQUESTED、REQUIRED
デフォルト設定	ACCEPTED

SQLNET.ENCRYPTION_TYPES_SERVER

SQLNET.ENCRYPTION_TYPES_SERVERパラメータでは、このサーバーで使用する暗号化アルゴリズムをアルゴリズムの使用順に指定します。

このリストは、相互に使用可能なアルゴリズムを接続のクライアント側とネゴシエートする際に使用されます。各アルゴリズムは、一致するものが見つかるまで、使用可能なクライアント・アルゴリズムのタイプのリストに対してチェックされます。インストールされていないアルゴリズムをこの側で指定した場合、接続はエラー・メッセージORA-12650: 共通の暗号化またはデータ整合性アルゴリズムがありません。で終了します。

表B-6では、SQLNET.ENCRYPTION_TYPES_SERVERパラメータの属性について説明します。

表B-6 SQLNET.ENCRYPTION_TYPES_SERVERパラメータの属性

属性	説明
構文	SQLNET.ENCRYPTION_TYPES_SERVER = (valid_encryption_algorithm [,valid_encryption_algorithm])
有効な値	AES256: AES (256ビット・キー・サイズ) AES192: AES (192ビット・キー・サイズ) AES128: AES (128ビット・キー・サイズ)
デフォルト設定	ローカルのsqlnet.oraファイルでアルゴリズムが定義されていない場合、インストールされているすべてのアルゴリズムが前述の順でネゴシエーションに使用されます。
使用上のノート	複数の暗号化アルゴリズムを指定できます。単一値またはアルゴリズム名のリストを指定できます。たとえば、次の暗号化パラメータはいずれも使用できます。 SQLNET.ENCRYPTION_TYPES_SERVER=(AES256) SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)

関連項目:

SQLNET.ENCRYPTION_TYPES_SERVERパラメータの詳細は、『Oracle Database Net Servicesリファレンス』を参照してください。

SQLNET.ENCRYPTION_TYPES_CLIENT

SQLNET.ENCRYPTION_TYPES_CLIENTパラメータでは、このクライアントまたはクライアントとして機能しているサーバーで使用する暗号化アルゴリズムを指定します。

このリストは、相互に使用可能なアルゴリズムを接続の相手側とネゴシエートする際に使用されます。インストールされていないアルゴリズムをこの側で指定した場合、接続はORA-12650: 共通の暗号化またはデータ整合性アルゴリズムがありません。のメッセージで終了します。

表B-7では、SQLNET.ENCRYPTION_TYPES_CLIENTパラメータの属性について説明します。

表B-7 SQLNET.ENCRYPTION_TYPES_CLIENTパラメータの属性

属性	説明
構文	SQLNET.ENCRYPTION_TYPES_CLIENT = (valid_encryption_algorithm [,valid_encryption_algorithm])
有効な値	AES256: AES (256ビット・キー・サイズ) AES192: AES (192ビット・キー・サイズ) AES128: AES (128ビット・キー・サイズ)
デフォルト設定	ローカルのsqlnet.oraファイルでアルゴリズムが定義されていない場合、インストールされているすべてのアルゴリズムがネゴシエーションに使用されます。
使用上のノート	各暗号化アルゴリズムをカンマで区切ることで、複数の暗号化アルゴリズムを指定できます。例: SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)

関連項目:

SQLNET.ENCRYPTION_TYPES_CLIENTパラメータの詳細は、『Oracle Database Net Servicesリファレンス』を参照してください。

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVERパラメータでは、このサーバーまたは別のサーバーのクライアントで使用するデータ整合性アルゴリズムをアルゴリズムの使用順に指定します。

このリストは、相互に使用可能なアルゴリズムを接続の相手側とネゴシエートする際に使用されます。各アルゴリズムは、一致するものが見つかるまで、使用可能なクライアント・アルゴリズムのタイプのリストに対してチェックされます。インストールされていないアルゴリズムをこの側で指定した場合、接続はORA-12650: 共通の暗号化またはデータ整合性アルゴリズムがありません。のエラー・メッセージで終了します。

表B-8では、SQLNET.CRYPTO_CHECKSUM_TYPES_SERVERパラメータの属性について説明します。

表B-8 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVERパラメータの属性

属性	説明
構文	SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER = (valid_crypto_checksum_algorithm [,valid_crypto_checksum_algorithm])
有効な値	SHA512: SHA-2、512ビットのハッシュを生成します。 SHA384: SHA-2、384ビットのハッシュを生成します。 SHA256: SHA-2、256ビットのハッシュを生成します。これがデフォルト値です。 SHA-1: Secure Hash Algorithm MD5: Message Digest 5
デフォルト設定	ローカルのsqlnet.oraファイルでアルゴリズムが定義されていない場合、インストールされているすべてのアルゴリズムがSHA256で始まるネゴシエーションに使用されます。

関連項目:

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVERパラメータの詳細は、『Oracle Database Net Servicesリファレンス』を参照してください。

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTパラメータでは、このクライアントまたはクライアントとして機能しているサーバーで使用するデータ整合性アルゴリズムのリストを指定します。

このリストは、相互に使用可能なアルゴリズムを接続の相手側とネゴシエートする際に使用されます。インストールされていないアルゴリズムをこの側で指定した場合、接続はORA-12650: 共通の暗号化またはデータ整合性アルゴリズムがありません。のエラー・メッセージで終了します。

表B-9では、SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTパラメータの属性について説明します。

表B-9 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTパラメータの属性

属性	説明
構文	SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT = (valid_crypto_checksum_algorithm [,valid_crypto_checksum_algorithm])
有効な値	SHA512: SHA-2、512ビットのハッシュを生成します。 SHA384: SHA-2、384ビットのハッシュを生成します。 SHA256: SHA-2、256ビットのハッシュを生成します。これがデフォルト値です。 SHA-1: Secure Hash Algorithm MD5: Message Digest 5
デフォルト設定	ローカルのsqlnet.oraファイルでアルゴリズムが定義されていない場合、インストールされているすべてのアルゴリズムがSHA256で始まるネゴシエーションに使用されます。

関連項目:

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTパラメータの詳細は、『Oracle Database Net Servicesリファレンス』を参照してください。