暗号化の概要 ~基礎編③~
それでは暗号化最後の座学にはいりますよ。ここまではざっくりした暗号の概念を学んでもらった後に、少しIPsecで使われる用語やプロトコルについて学んでもらいました。今回はこれらのことを含めてどのように暗号化されて、どのように複合化されていくのかを学んでもらいたいと思います。これまでの授業を受けられていない方は、そちらから受けてくださいね。
暗号化の概要 ~基礎編①~
暗号化の概要 ~基礎編②~
IPsec確立までの流れ
IPsecトンネルを確立するまでに2つのフェーズがあります。なんでフェーズを分けて暗号化するの?と疑問にも思われる方もいるかと思いますが、それは、これから解説していきます。
IKEフェーズ1
まず最初は、IKEフェーズ1についてです。IKEフェーズ1では、フェーズ2で使う共通鍵を安全に作ることが目的となります。そもそもフェーズ2の共通鍵を安全に作るための通信は安全なのか?と言う疑問を持たれるかもしれませんが大丈夫です。実際に作成する共通鍵を一度も交換することなく、双方で同じ鍵を作成することができるのです。
このIKEフェーズ1では、一般的にDiffie-Hellman鍵共通という方式が採用されます。これは、誰もが知っている数字に送信元しか知らない数字と送信先しか知らない数字を組合わせることで同じ共通鍵を作成することが出来るのです。計算式を詳しく理解しようとするとなかなかハードルが高いので割愛しますが、もし、悪者が盗聴をした場合、送信元と送信先と盗聴者がそれぞれ持っている情報を整理すると、以下のようになります。
送信元/送信先/登頂者の情報整理
送信元:誰もが知っている数字、送信者だけが知っている数字、送信元が作成した数字、宛先が作成した数字
送信先:誰もが知っている数字、送信先だけが知っている数字、送信元が作成した数字、宛先が作成した数字
盗聴者:誰もが知っている数字、送信元が作成した数字、宛先が作成した数字
ポイント
ここでポイントなるのが、
「誰もが知っている数字」と「送信者だけが知っている数字」と「宛先が作成した数字」を組み合わせた値『A』と
「誰もが知っている数字」と「宛先だけが知っている数字」と「送信元が作成した数字」を組み合わせた値『B』が
同じ数字になるということです。
これは、盗聴者が知りうる「誰もが知っている数字」と「送信元が作成した数字」と「送信先が作成した数字」から作成することは困難となります。このようにして、「送信者だけが知っている数字」と「送信先だけが知っている数字」をやり取りすることなく共通鍵を双方で作成することが出来ました。
このようにしてIKEフェーズ1で共通鍵を生成し、ISAKMP SA(Security Association)というトンネルが作成されます。これ以降のやり取りはすべてこのトンネルを使って行われます。
IKEフェーズ2
IKEフェーズ2に入ると、IPsecで必要となる秘密鍵の生成を行います。まずは、IPsec通信で使用できるパラメータの交換を実施します。IKEフェーズ1で共通鍵を生成していますので、ここではすべて暗号化された通信となります。そして、ここでパラメータの合意が取れるとIPsec SAという新しいトンネルが出来ます。ここで作成されるIPsec SAは2つあり、送信用と受信用で分かれて作成されます。このようにしてIPsecトンネルが生成されて安全なデータ通信が可能となるのです。
CISCO892J
Amazon
![]() |
中古価格 |
まとめ
本日の授業はここまでとなりますが、いかがだったでしょうか?IKEのフェーズ1と2で分けることで、効率的に安全なデータ通信を可能としています。それでは次回の授業から実際にルータに設定を入れてIPsecトンネルを作成してみたいと思いますので、これまでの授業を復習していきましょうね。
Cisco 891FJ
Amazon
![]() |
Cisco 891FJ-K9 C891FJ-K9 サービス統合型ルータ 中古価格 |
※前回の授業からだいぶ時間がたってしまって申し訳ありませんでした。。
引き続きよろしくお願いいたします。