- PR -

IPsec制御用トンネルの作成について

投稿者	投稿内容
DNSはQR？会議室デビュー日: 2003/07/19 投稿数: 11	投稿日時: 2004-05-06 17:24 IPsecの制御用トンネル（ISAKMP SA）作成について質問させてください。 IPsecでは、IPsecゲートウェイ間（もしくはIPsecゲートウェイとリモートアクセス用PC との間）で、まず制御用トンネル（ISAKMP SA）を確立し、暗号鍵を安全に交換した上で改めて通信用トンネル（IPsec SA）を確立します。そのうち、制御用トンネルを作る手順は２種類（メイン・モードとアグレッシブ・モード）あって、メイン・モードでは認証の前に秘密鍵の交換をするので、認証に使うIDや算出したハッシュ値は秘密鍵で暗号化されて相手のIPsecゲートウェイに届くと思います。そこで、このメイン・モードについて、以下のようにとある参考書に書かれておりました。「最後の認証段階になるまで相手にIDが伝わらないので、IDとは別に誰かを知らせる　必要がある。なぜなら、通信相手が特定できないと、プリシェアード・キーが　選べず、鍵交換が成り立たないためである。」ここで、なぜ「プリシェアード・キーが選べないと鍵交換が成り立たないのか」が、よく分からないのです。だってプリシェアード・キーは認証に使うキーであり、認証手順でIDが伝わってから初めてIDと組み合わせてハッシュ値を算出するものだという認識が私のなかであるからです。また、「IDとは別に誰かを知らせる必要」は別にないのではないか、と思ってしまいます。それは認証処理時に分かればよいものだと思うからです。参考書の上記の記述について、ご理解の方は何卒ご教示お願いします。 [ メッセージ編集済み編集者: DNSはQR？編集日時 2004-05-07 15:22 ]

投稿者

投稿内容

DNSはQR？: 会議室デビュー日: 2003/07/19; 投稿数: 11

投稿日時: 2004-05-06 17:24

IPsecの制御用トンネル（ISAKMP SA）作成について質問させてください。

IPsecでは、IPsecゲートウェイ間（もしくはIPsecゲートウェイとリモートアクセス用PC
との間）で、まず制御用トンネル（ISAKMP SA）を確立し、暗号鍵を安全に交換した上で
改めて通信用トンネル（IPsec SA）を確立します。

そのうち、制御用トンネルを作る手順は２種類（メイン・モードとアグレッシブ・モー
ド）あって、メイン・モードでは認証の前に秘密鍵の交換をするので、認証に使うIDや
算出したハッシュ値は秘密鍵で暗号化されて相手のIPsecゲートウェイに届くと思います。

そこで、このメイン・モードについて、以下のようにとある参考書に書かれておりました。

「最後の認証段階になるまで相手にIDが伝わらないので、IDとは別に誰かを知らせる
　必要がある。なぜなら、通信相手が特定できないと、プリシェアード・キーが
　選べず、鍵交換が成り立たないためである。」

ここで、なぜ「プリシェアード・キーが選べないと鍵交換が成り立たないのか」が、
よく分からないのです。だってプリシェアード・キーは認証に使うキーであり、認証
手順でIDが伝わってから初めてIDと組み合わせてハッシュ値を算出するものだという
認識が私のなかであるからです。
また、「IDとは別に誰かを知らせる必要」は別にないのではないか、と思ってしまいます。
それは認証処理時に分かればよいものだと思うからです。

参考書の上記の記述について、ご理解の方は何卒ご教示お願いします。

[ メッセージ編集済み編集者: DNSはQR？編集日時 2004-05-07 15:22 ]

＠IT SpecialPR

IPsec制御用トンネルの作成について

スキルアップ／キャリアアップ（JOB@IT）