本稿ではIPA試験で必要とされる知識をまとめます。
IKEv1とIKEv2の違い
IKE(Internet Key Exchange)はIPsecのうち鍵交換機能と接続相手認証機能を担うプロトコルです。古くからIKEv1が利用されてきましたが,徐々にメーカーやバージョンによる互換性が失われていきました。そこでIKEv1の効率化を図るとともに改めてIKEを標準化しようとするIKEv2が考案されました。
IKEは他にもメッセージ認証機能やリプレイ防御機能も有します。
IKEv1がフェーズ1とフェーズ2に分けられます。フェーズ1はメインモードとアグレッシブモードに分けられますが,メインモードは認証時の暗号化を担保する代わりに通信に3往復を要し,アグレッシブモードは通信は1.5往復で済みますが認証時の暗号化を省略します。フェーズ1では制御用のSAを1つ作成し,フェーズ2では上り通信用と下り通信用のSAを2つ作成します。
| フェーズ | モード | 手続き |
|---|---|---|
| フェーズ1 | メインモード | ・ISAKMP SAの設定合意 ・ISAKMP SAの鍵交換 ・接続相手認証 を3往復で実現。認証時には暗号化されている。 |
| アグレッシブモード | ・ISAKMP SAの設定合意 ・ISAKMP SAの鍵交換 ・接続相手認証 を1.5往復で実現。認証時は暗号化されていない。 | |
| フェーズ2 | クイックモード | ・IPsec SAの設定合意 ・IPsec SAの鍵交換 を1.5往復で実現。 |
ISAKMPはInternet Security Association and Key Management Protocolの略称で,アイサキャンプと読みます。ISAKMPはパラメータの交換方式を規定するプロトコルで,結果としてSAが生成されます。SAはトンネルのようなイメージですが,Security Associationという原義からも分かる通り,実態はISAKMPにより交換されたパラメータの合意のことを指します。ISAKMP SAはIPsec SAの制御用トンネルです。
IKEv2ではフェーズ1の一部をIKE_SA_INIT,フェーズ1の一部とフェーズ2をIKE_AUTHとして新たに定義して手続きを簡略化させました。IKEv1におけるISAKMP SAはIKEv2ではIKE SAと呼ばれ,IKEv1におけるIPsec SAはIKEv2ではChild SAと呼ばれます。