CipherSuites

TimesTen 22.1では、TLSプロトコル・バージョン1.2および関連する暗号スイートをサポートしています。暗号スイートとは、ネットワーク・エンティティ間でメッセージを交換するために使用される認証、暗号化およびデータ整合性アルゴリズムのセットです。この場合、ネットワーク・エンティティはTimesTenクライアントおよびTimesTenサーバーです。

ノート:

TLSは、Secure Sockets Layer (SSL)バージョン3.0の増分バージョンです。SSLは当初Netscape社によって開発されましたが、Internet Engineering Task Force (IETF)がその開発を引き継ぎ、Transport Layer Security (TLS)と改名しました。TLSはIETFの規格です。

TimesTenおよびTimesTenドキュメントでは、基本的にSecure Sockets LayerおよびSSLではなくTransport Layer SecurityおよびTLSという用語を使用します。ただし、以前の用語であるSecure Sockets LayerおよびSSLが引き続き使用される場合もあります。暗号スイートの名前には、TLSとSSLの両方の用語法が使用されています。SSLの名前が付いた暗号スイートは、Transport Layer Securityと連携して動作し、Transport Layer Securityに適用されます。

暗号スイートには、ECDSAやRSAなどの認証/デジタル署名アルゴリズムが含まれます。同様に、Oracleウォレットに格納され、TLSクライアント/サーバー暗号化に必要な証明書は、ECCまたはRSAキー・アルゴリズムで署名されます。暗号スイート認証アルゴリズムは、ECCまたはRSAキー・アルゴリズムと一致する必要があります。たとえば、証明書がRSAキー・アルゴリズムで署名されている場合、認証にRSAを使用する暗号スイートのみを使用できます。同様に、証明書がECCキー・アルゴリズムで署名されている場合、認証にECDSA (ECDHE-ECDSAなど)を使用する暗号スイートのみを使用できます。

証明書の署名に使用されたキー(RSAまたはECC)を把握しておくことが重要です。RSAとECCのキーおよびアルゴリズムの詳細は、『Oracle TimesTen In-Memory Databaseセキュリティ・ガイド』の「クライアント/サーバー用のTLSの構成」を参照してください。

たとえば、サーバー証明書の名前がserver1.certであるとします。証明書の場所に移動し、次のopensslコマンドを発行します:

openssl x509 -in server1.cert -text -noout

次のような出力を探します:

RSAの場合: Public Key Algorithm: rsaEncryption
ECCの場合: Public Key Algorithm: id-ecPublicKey

TimesTen 22.1では、RSAとECCの両方の認証/デジタル署名アルゴリズムを含む暗号スイートをサポートしています。RSAキーを使用している場合は、必ずRSA認証/デジタル署名アルゴリズムを含む暗号スイートを1つ以上含めてください。同様に、ECCキーを使用している場合は、必ずECDSA (Elliptic Curve Digital Signature Algorithm)認証/デジタル署名アルゴリズムを含む暗号スイートを1つ以上含めてください。

TimesTenには、デフォルトの暗号スイート設定はありません。クライアント固有のCipherSuites接続属性はクライアント構成に、サーバー固有のCipherSuites接続属性はサーバー構成に指定する必要があります。(ただし、インスタンス・レベルで暗号スイート設定を指定した場合は例外です。その場合、設定はtimesten.confファイルにあります。)

TimesTenクライアント固有のCipherSuites接続属性およびTimesTenサーバー固有のCipherSuites接続属性には、1つ以上の暗号スイートを指定できます。接続属性に複数の暗号スイートを指定する場合は、必ずそれぞれをカンマで区切って、優先順にリストしてください。使用する暗号スイートに関してクライアントがサーバーとネゴシエートする場合、設定されている優先順位に従います。TimesTenでは、最強から最弱の順に暗号スイートをリストすることをお薦めします。サーバーは、自身の優先順位付きリストで、クライアントのリストにも存在する最初の暗号スイートを選択します。したがって、クライアントとサーバーに共通の暗号スイートが少なくとも1つあることを確認してください。クライアントとサーバーが共通の暗号スイートで合意できない場合、TLS接続は失敗します。

次の表に、サポートされている暗号スイート(SSLの名前が付いた暗号スイートを含む)と、それぞれで使用される認証、暗号化およびデータ整合性アルゴリズムを示します。最後の列は、暗号スイートがRSAまたはECCのどちらの公開キー・アルゴリズムに対して有効かを示します。証明書の署名に使用されたキー(RSAまたはECC)に有効な暗号スイートを必ず選択してください。たとえば、キーがECCの場合、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256暗号スイートは有効ですが、TLS_RSA_WITH_AES_128_CBC_SHA256暗号スイートは有効ではありません。

Transport Layer Security暗号スイート

暗号化スイート	認証	Encryption	データ整合性	有効(RSAまたはECC)
`TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256` または `SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256`	ECDHE_ECDSA	AES 128 GCM	SHA256	ECC
`TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256` または `SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256`	ECDHE_ECDSA	AES 128 CBC	SHA256	ECC
`TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384` または `SSL_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384`	ECDHE_ECDSA	AES 256 CBC	SHA384	ECC
`TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384` または `SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384`	ECDHE_ECDSA	AES 256 GCM	SHA384	ECC
`TLS_RSA_WITH_AES_128_CBC_SHA256` または `SSL_RSA_WITH_AES_128_CBC_SHA256`	RSA	AES 128 CBC	SHA256	RSA
`TLS_RSA_WITH_AES_128_GCM_SHA256` または `SSL_RSA_WITH_AES_128_GCM_SHA256`	RSA	AES 128 GCM	SHA256	RSA
`TLS_RSA_WITH_AES_256_CBC_SHA256` または `SSL_RSA_WITH_AES_256_CBC_SHA256`	RSA	AES 256 CBC	SHA256	RSA
`TLS_RSA_WITH_AES_256_GCM_SHA384` または `SSL_RSA_WITH_AES_256_GCM_SHA384`	RSA	AES 256 GCM	SHA384	RSA

ノート:

クライアントとサーバーの両方にCipherSuites属性を指定することを忘れないでください。TLS接続を成功させるには、サーバーとクライアントの設定に共通の暗号スイートが1つ含まれている必要があります。サーバーとクライアントが共通の暗号スイートで合意できない場合、TLS接続は失敗します。

『Oracle TimesTen In-Memory Databaseセキュリティ・ガイド』の「クライアント/サーバー用のTLSの構成」を参照してください

必要な権限

この属性の値の変更に権限は必要ありません。

TimesTen ScaleoutおよびTimesTen Classicでの使用

この属性はTimesTen Classicでサポートされていますが、TimesTen Scaleoutではサポートされません。

設定

CipherSuitesは次のように設定します。

属性の設定場所	属性の表示	設定
CまたはJavaプログラム、あるいはUNIXおよびLinuxシステムのTimesTen Classicの`odbc.ini`ファイル	CipherSuites	サポートされている暗号スイートを1つ以上、カンマ区切りで優先順に指定します。
Windows ODBCデータソース・アドミニストレータ	「Oracle TimesTen Client DSN Setup」ダイアログの「CipherSuites」フィールド。	サポートされている暗号スイートを1つ以上、カンマ区切りで優先順に指定します。