メインコンテンツまでスキップ

4.5. SAと鍵の管理

すべてのIPsec実装は、手動および自動のSAと暗号鍵管理の両方をサポートしなければなりません (MUST)。IPsecプロトコルであるAHとESPは、関連するSA管理技術からほぼ独立していますが、関与する技術はプロトコルが提供するセキュリティサービスの一部に影響を与えます。

セキュリティサービスへの影響

たとえば、AHとESPで利用可能なオプションのアンチリプレイサービスには、自動化されたSA管理が必要です。さらに、IPsecで使用される鍵配布の粒度が、提供される認証の粒度を決定します。一般に、AHとESPにおけるデータ発信元認証は、完全性アルゴリズムで使用される秘密 (またはそのような秘密を作成する鍵管理プロトコル) が複数の可能な発信元間で共有される範囲によって制限されます。

以下のテキストは、両方のタイプのSA管理の最小要件について説明します。

4.5.1. 手動技術

最も単純な管理形態は手動管理であり、人が各システムを、他のシステムとの安全な通信に関連する鍵材料とSA管理データで手動で構成します。手動技術は小規模で静的な環境では実用的ですが、スケーラビリティに欠けます。

使用例: 企業は、複数のサイトのセキュリティゲートウェイでIPsecを使用して仮想プライベートネットワーク (VPN) を作成できます。サイト数が少なく、すべてのサイトが単一の管理ドメインの管轄下にある場合、これは手動管理技術の実行可能なコンテキストとなる可能性があります。この場合、セキュリティゲートウェイは、手動で構成された鍵を使用して組織内の他のサイトとの間のトラフィックを選択的に保護し、他の宛先へのトラフィックは保護しない可能性があります。

選択された通信のみを保護する必要がある場合にも適切である可能性があります。同様の議論は、少数のホストおよび/またはゲートウェイに対して組織内で完全にIPsecを使用する場合にも適用される可能性があります。手動管理技術は、静的に構成された対称鍵を使用することが多いですが、他のオプションも存在します。

4.5.2. 自動化されたSAと鍵管理

IPsecの広範な展開と使用には、インターネット標準の、スケーラブルで自動化されたSA管理プロトコルが必要です。このようなサポートは、AHとESPのアンチリプレイ機能の使用を容易にし、ユーザーおよびセッション指向の鍵交換など、オンデマンドでのSA作成に対応するために必要です。(SAの「再鍵交換」という概念は、実際には新しいSPIを持つ新しいSAの作成を意味し、このプロセスは一般的に自動化されたSA/鍵管理プロトコルの使用を意味することに注意してください。)

デフォルトプロトコル: IPsecで使用するために選択されたデフォルトの自動鍵管理プロトコルはIKEv2 [Kau05] です。このドキュメントは、IKEv1ではサポートされていない鍵管理プロトコルの特定の機能の可用性を前提としています。他の自動化されたSA管理プロトコルを使用してもかまいません (MAY)。

SA当たり複数の鍵

自動化されたSA/鍵管理プロトコルが使用される場合、このプロトコルからの出力は、単一のSAに対して複数の鍵を生成するために使用されます。これは、IKEによって作成される2つのSAのそれぞれに異なる鍵が使用されるためにも発生します。完全性と機密性の両方が使用される場合、最低4つの鍵が必要です。さらに、一部の暗号アルゴリズムは、3DESなど、複数の鍵を必要とする場合があります。

鍵管理システムは、SAに必要な各鍵に対して個別のビット列を提供するか、すべての鍵が抽出される単一のビット列を生成する可能性があります。

最終更新