| [Software] |
 |
|
Windows 2000のIPSecで3DESによる暗号化を有効にする方法 |
||
| 澤谷琢磨 2000/12/19 |
||
|
|
||
Windows 2000が標準でサポートしているIPSecでは、パケットの暗号アルゴリズムにDES(Data Encryption Standard)または3DESアルゴリズムを使用する(IPSecについては、「技術解説 :IT管理者のためのIPSec講座」参照のこと)。DESとは、暗号化と復号化で同じ鍵(56bits長)を用いる共有鍵暗号化方式(秘密鍵暗号化方式)の1つである。DESは、暗号アルゴリズムとしては設計が古く、また鍵長も56bitと短いため、現在では安全な暗号化方式とはいえなくなっている。そのため、異なる鍵を用いてDESアルゴリズムを3重に適用し、実効鍵長をより長くした3DES(トリプルDES)がDESに代わって普及している。3DESでは、DESを3回繰り返すため、処理時間はDESに比べ長くなるのが欠点だが、暗号の強度は3DESを用いたほうが高い。
Windows 2000英語版では、3DESをIPSecの暗号化アルゴリズムとして設定しても有効にはならず、DESを用いて暗号化される。これは暗号化アルゴリズムに対する輸出規制に対応するためだ。3DESを有効にするには、別途配布されている「High Encryption Pack(日本名:高度暗号化パック)」を入手するか、Windows 2000日本語版のパッケージに標準添付されているフロッピーディスクを使って、インストールする必要がある。
問題なのは、Windows 2000日本語版では3DESを有効にする方法について記述があいまいな点だ。日本語版のIPSecに関するドキュメント、あるいは高度暗号化パックに関する記述を読む限り、3DESを有効にするために必要な作業については述べられていない。3DES処理をハードウェア・アクセラレーションするIntel PRO/100 Sマネージメント・アダプタの日本語版サポート・ページでは、Windows 2000日本語版は出荷状態で3DESをサポートしているとしている。
ところが実際に、Windows 2000日本語版でIPSecを有効にすると、次のメッセージがイベントビューアに記録される。場所は[アプリケーション ログ]の[Oakley]である。
| [注意] |
|
「ISAKMP/Oakley 用の IP セキュリティ ポリシーで指定された暗号化アルゴリズムは、暗号輸出規制のため無効です。ISAKMP/Oakley で使われているすべての 3DES 暗号化は、より強度の低い標準 DES 暗号化に設定されました。通常はこれで問題ありません。それでも ISAKMP/Oakley は IP セキュリティ パラメータをネゴシエート、および DES 暗号化でそのネゴシエーションを保護できます。3DES 暗号化を使って ISAKMP/Oakley ネゴシエーションの保護が必要な場合に限り問題になります。その場合は、ネットワーク管理者に問い合わせてください。」 |
これは、High Encryption Packを適用する前のWindows 2000英語版で、3DESを有効にした場合に表示されるメッセージと同じ内容である。このとき、3DESではなく、DESでパケットの暗号化が行われていることは、IPSecの動作状態をモニタする[IPセキュリティ モニタ](Windows 2000に標準付属する)で確認できる。
 |
|||
| Windows 2000日本語版のIPセキュリティ モニタ | |||
| IPセキュリティ モニタ(IPSECMON.EXE)は、IPSecを用いた通信の状態を表示する、Windows 2000に標準添付のアプリケーションである。 | |||
|
3DESを用いるには高度暗号化パックのインストールが必要
Windows 2000日本語版で3DESを有効にするには、Windows 2000英語版と同様、高度暗号化パックをインストールする必要がある。このことがマイクロソフトのIPSec関連の資料ではっきりと示されていない理由は不明だ。
高度暗号化パックは、Windows Updateを用いてインストールできる。ダウンロードのみの場合は、マイクロソフトのWindows 2000のホームページで入手可能だ。ここでは、通常版(192Kbytes)に加え、管理者向けの再配布版(320Kbytes)も入手できる。
高度暗号化パックは、Windows 2000の暗号強度を実用的な3DESの水準に引き上げるために必要だが、アンインストールが行えないので、大量導入前には十分なテストを行いたい。また、高度暗号化パックはWindows
2000 Service Pack 1には含まれていないので、別途入手する必要がある(Windows 2000日本語版のパッケージにはフロッピーディスクで添付されている)。なお、高度暗号化パックのインストールは、Service
Pack適用前、適用後のどちらでも可能だ。
| 関連記事 | |
| IT管理者のためのIPSec講座 | |
| 関連リンク | |
| PRO/100 S日本語版のサポート・ページ | |
| Windows Updateページ | |
| Windows 2000のホームページ | |
 |
「PC TIPS」 |
- 「未知なるもの」がスパコン開発を支える? (2010/7/27)
東大と国立天文台が共同開発したスパコンがリトル・グリーン500で1位に。市販部品を多用しながら1位のスパコンを作っている。その秘密は? - 赤外線を電気に変える太陽電池(?)の使い道 (2010/6/22)
ベルギーの研究機関「IMEC」が赤外線を効率よく電気に変換できる一種の太陽電池を開発。これは人類にとっての救世主?
それとも…… - Google TVがVIA Technologiesも救う? (2010/5/26)
x86プロセッサの供給元には、IntelとAMDのほかにVIAもある。IntelのAtomで少々苦しい立場のVIA。しかしGoogle
TVが救世主となるかも - AMDとIntelのビジネスのベクトルを比べる (2010/4/23)
AMDとIntelから同時期に異なる方向性を持つ製品のニュースが。AMDはサーバ向けCPU、Intelは組み込み向けSoC。両社はどこに向かう?
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜SQL編〜
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。