| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.3 暗号通信機能(Solaris版/Windows版) |
SDFW暗号通信では、以下の機能を提供しています。
暗号化機能
指定されたデータを暗号化するとともに、盗聴や改ざんを検出する情報を付加します。
復号機能
暗号化されたデータを受信して復号します。
鍵管理機能
暗号化/復号の際に使用する鍵を管理します。
以下に、それぞれの機能について説明します。
暗号化機能は、暗号ゲートウェイで条件に一致したパケットを暗号化して外部ネットワークに送出する機能です。
暗号ゲートウェイでは、暗号通信条件ダイアログボックスで指定したIP アドレスおよびサービスの組合せで暗号化する通信を判断します。
内部ネットワークのホストからインターネットなどの外部ネットワークに送信したパケットが、暗号通信条件に一致している場合、ユーザプロセスとして動作する暗号ゲートウェイデーモンがパケットを暗号化して、UDPのデータとして外部ネットワークに送信します。したがって、内部の指定されたホスト(ネットワーク)と相手ゲートウェイ先のホストとの間で、条件設定されたサービスの通信が暗号化されます。
また、暗号ゲートウェイでは暗号化するパケットに改ざんを検出するための情報(暗号化する前のパケットのメッセージダイジェスト)を付加して暗号化するため、暗号化されたデータに改ざんが行われた場合でも、改ざんを検出できます。
なお、暗号ゲートウェイが送信するパケットには、通信相手の相手暗号ゲートウェイの宛先アドレス、暗号用のポート番号および鍵 ID(データを暗号化した鍵を識別する ID )を設定します。
以下に、暗号ゲートウェイが送信するパケットを示します。
SDFW暗号通信では、データを変換するための暗号アルゴリズムとして、DES( Data Encryption Standard )、及びAES ( Advanced Data Encryption Standard )を採用しています。
DES は、8 バイトの平文を8バイトの暗号文に変換する暗号アルゴリズムで、暗号鍵として 8 バイトのデータを使用します。復号するときには、暗号化のときと同じ鍵が必要になります。この暗号鍵を暗号化側と復号側で安全に管理することで、データ全体を安全に管理できるということになります。
一方、AES は、8 バイトの平文を8バイトの暗号文に変換する暗号アルゴリズムで、暗号鍵として 8 バイトのデータを使用します。復号するときには、暗号化のときと同じ鍵が必要になります。この暗号鍵を暗号化側と復号側で安全に管理することで、データ全体を安全に管理できるということになります。
データの送信時には、 暗号化したパケットをUDP でカプセル化して( UDP のユーザデータとみなして)送信します。このため、通信経路上に複数の他社のルータが存在する場合でも相互通信ができます。
復号機能は、暗号ゲートウェイで暗号通信条件に一致して暗号化されたパケットを復号して、内部ネットワークに送出する機能です。
暗号ゲートウェイでは、受信したパケット( UDP のデータ)の中で、暗号ゲートウェイ設定で設定された相手暗号ゲートウェイの IPアドレスと自暗号ゲートウェイのポート番号の組合せ条件が一致するパケットを復号して内部ネットワークに送出します。また、暗号ゲートウェイでは、受信した鍵 IDで暗号化されたデータの復号を行い、データの改ざんを検出した場合、アラート情報として通知します。
暗号ゲートウェイでは、暗号化側と復号側の暗号ゲートウェイが共有する暗号鍵を相手暗号ゲートウェイの個数だけ保有し、管理します。また、パケットの暗号化では、暗号鍵と鍵 IDを組み合わせて暗号化を行い、かつ、鍵 ID を定期的に自動更新することで、通信する情報の安全性を高めています。
暗号化側と復号側の暗号ゲートウェイが共有する暗号鍵は、暗号ゲートウェイ設定で登録します。暗号鍵は、相手暗号ゲートウェイごとに設定できます。
また、鍵 ID の更新周期も暗号ゲートウェイ設定で、相手暗号ゲートウェイごとに 1 から24 時間の間で指定できます。
|
目次
索引
|