IKE (Internet Key Exchange)

IKE (Internet Key Exchange) は IPsec において SA (Security Association) のセットアップに使用されるプロトコルです。XG Firewall では、RFC 2409 の定義に基づき IKE をサポートしています。

鍵交換のフェーズは以下のとおりです。
  • 認証 (フェーズ 1)。フェーズ 1 では、ピアはそれぞれ事前共有鍵またはデジタル証明書を用いて自己認証します。Diffie–Hellman アルゴリズムにより、認証済みの安全な通信チャネルが作成され、さらに共有シークレット鍵が生成されて、その後の通信が暗号化されます。このネゴシエーションによって、セッション鍵と SA が生成されます。
  • 鍵交換 (フェーズ 2)。フェーズ 2 では、ピアはフェーズ 1 で確立されたセキュリティチャネルを使用して、IPsec SA に対してネゴシエーションを行います。この SA の鍵材料は、IKE フェーズ 1 の鍵を使用するか、または PFS 設定に基づいて新しい鍵交換を実施することにより作成されます。この SA は、ピア間で転送される実際のユーザーデータを暗号化します。

Diffie–Hellman 鍵交換

Diffie–Hellman 鍵交換は、安全でないチャネル上で暗号化鍵を安全に交換する方法です。Diffie–Hellman アルゴリズムは、安全で暗号化された鍵の転送中に、これらがインターネット上で攻撃されることを防止するために作成されました。Diffie–Hellman 鍵交換を認証アルゴリズムと併用することで、スプーフィング攻撃と中間者攻撃を防止することができます。

Perfect Forward Secrecy

PFS (Perfect Forward Secrecy) はフェーズ 2 において、以前の鍵から独立した無関係の鍵を得る方法です。PFS を指定すると、各ネゴシエーションに新しい鍵が生成され、新しい DH の鍵交換が含まれます。PFS では、ネットワークに侵入するために破らなければいけない鍵がもう 1つ増えるため、セキュリティが向上します。