| [Software] |
 |
|
Windows 2000のIPSecで3DESによる暗号化を有効にする方法 |
||
| 澤谷琢磨 2000/12/19 |
||
|
|
||
Windows 2000が標準でサポートしているIPSecでは、パケットの暗号アルゴリズムにDES(Data Encryption Standard)または3DESアルゴリズムを使用する(IPSecについては、「技術解説 :IT管理者のためのIPSec講座」参照のこと)。DESとは、暗号化と復号化で同じ鍵(56bits長)を用いる共有鍵暗号化方式(秘密鍵暗号化方式)の1つである。DESは、暗号アルゴリズムとしては設計が古く、また鍵長も56bitと短いため、現在では安全な暗号化方式とはいえなくなっている。そのため、異なる鍵を用いてDESアルゴリズムを3重に適用し、実効鍵長をより長くした3DES(トリプルDES)がDESに代わって普及している。3DESでは、DESを3回繰り返すため、処理時間はDESに比べ長くなるのが欠点だが、暗号の強度は3DESを用いたほうが高い。
Windows 2000英語版では、3DESをIPSecの暗号化アルゴリズムとして設定しても有効にはならず、DESを用いて暗号化される。これは暗号化アルゴリズムに対する輸出規制に対応するためだ。3DESを有効にするには、別途配布されている「High Encryption Pack(日本名:高度暗号化パック)」を入手するか、Windows 2000日本語版のパッケージに標準添付されているフロッピーディスクを使って、インストールする必要がある。
問題なのは、Windows 2000日本語版では3DESを有効にする方法について記述があいまいな点だ。日本語版のIPSecに関するドキュメント、あるいは高度暗号化パックに関する記述を読む限り、3DESを有効にするために必要な作業については述べられていない。3DES処理をハードウェア・アクセラレーションするIntel PRO/100 Sマネージメント・アダプタの日本語版サポート・ページでは、Windows 2000日本語版は出荷状態で3DESをサポートしているとしている。
ところが実際に、Windows 2000日本語版でIPSecを有効にすると、次のメッセージがイベントビューアに記録される。場所は[アプリケーション ログ]の[Oakley]である。
| [注意] |
|
「ISAKMP/Oakley 用の IP セキュリティ ポリシーで指定された暗号化アルゴリズムは、暗号輸出規制のため無効です。ISAKMP/Oakley で使われているすべての 3DES 暗号化は、より強度の低い標準 DES 暗号化に設定されました。通常はこれで問題ありません。それでも ISAKMP/Oakley は IP セキュリティ パラメータをネゴシエート、および DES 暗号化でそのネゴシエーションを保護できます。3DES 暗号化を使って ISAKMP/Oakley ネゴシエーションの保護が必要な場合に限り問題になります。その場合は、ネットワーク管理者に問い合わせてください。」 |
これは、High Encryption Packを適用する前のWindows 2000英語版で、3DESを有効にした場合に表示されるメッセージと同じ内容である。このとき、3DESではなく、DESでパケットの暗号化が行われていることは、IPSecの動作状態をモニタする[IPセキュリティ モニタ](Windows 2000に標準付属する)で確認できる。
 |
|||
| Windows 2000日本語版のIPセキュリティ モニタ | |||
| IPセキュリティ モニタ(IPSECMON.EXE)は、IPSecを用いた通信の状態を表示する、Windows 2000に標準添付のアプリケーションである。 | |||
|
3DESを用いるには高度暗号化パックのインストールが必要
Windows 2000日本語版で3DESを有効にするには、Windows 2000英語版と同様、高度暗号化パックをインストールする必要がある。このことがマイクロソフトのIPSec関連の資料ではっきりと示されていない理由は不明だ。
高度暗号化パックは、Windows Updateを用いてインストールできる。ダウンロードのみの場合は、マイクロソフトのWindows 2000のホームページで入手可能だ。ここでは、通常版(192Kbytes)に加え、管理者向けの再配布版(320Kbytes)も入手できる。
高度暗号化パックは、Windows 2000の暗号強度を実用的な3DESの水準に引き上げるために必要だが、アンインストールが行えないので、大量導入前には十分なテストを行いたい。また、高度暗号化パックはWindows
2000 Service Pack 1には含まれていないので、別途入手する必要がある(Windows 2000日本語版のパッケージにはフロッピーディスクで添付されている)。なお、高度暗号化パックのインストールは、Service
Pack適用前、適用後のどちらでも可能だ。
| 関連記事 | |
| IT管理者のためのIPSec講座 | |
| 関連リンク | |
| PRO/100 S日本語版のサポート・ページ | |
| Windows Updateページ | |
| Windows 2000のホームページ | |
 |
「PC TIPS」 |
- Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう - 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は? - IoT実用化への号砲は鳴った (2017/4/27)
スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか? - スパコンの新しい潮流は人工知能にあり? (2017/3/29)
スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
 |
|
|
|
|
