安全な通信のための準備手順:IPsecのIKEフェーズ
はい、こんにちは!専用線を使ったかのようにデータを安全に送り、暗号化と認証を実現する「VPN」のお話しをしております。
前回は、IPsecの動作モードのうち、「トンネルモード」についてご紹介しました。「トランスポートモード」と異なり、ヘッダを含むIPパケット全体を暗号化するのでしたね!拠点間のVPNとして広く使われているのでした。
さて、今回からは、そのIPsecの通信手順についてお話しします。これがちょっと複雑で分かりにくいのです。鍵交換を2回行ったり、トンネルを3つ作ったり…。でも、できるだけ分かりやすく整理いたします!
この記事では、IKEフェーズ1なるものの概要まで話しますよ。
では、いってみよう!
3ステップで安全な通信を確立
IPsecでいざ通信を始めようと思っても、いきりなりデータを送ることはできません。暗号化、認証はどのように行うかを決めて鍵交換し、通信する通路を作らねばなりません。
IPsecでは、これらの手順が3段階(フェーズ)に分かれます。次の3つです。
IKEフェーズ1
IKEフェーズ2
IPsecフェーズ
準備段階がIKEフェーズで、実際に送りたいデータの通信がIPsecフェーズです。
IKEは、Internet Key Exchangeの略で、IPsecでデータの送受信を行うために必要な暗号鍵(共通鍵)を交換するためのプロトコルです。
3段階もあって、暗号鍵を交換するまでに2段階もあるんだな~、と抑えましょう。
ちなみにですが、IKEはどう読むと思います?私はずっと、「イケフェーズ」と読んでいたのですが、実際は「アイク」と発音することが多いようです。「イケてるフェーズ」みたいで勝手に親しみをもって覚えておりました♪。
トンネルを3つも作る
さて、このIPsecの通信手順ですが、技術的に詳細を調べると、もう、泥沼にはまります。重要そうな概念がいっぱい登場するのです…。
ですから、ここでは各フェーズの大きな流れを確認してから、少しずつ進むようにしたいと思います~!
IKEフェーズ1
この最初のフェーズは、大きく3つの作業があります。
最初にパラメータの交渉を行います。「暗号化アルゴリズムはどうしますか?認証方式はどうしますか?」などパラメータを提案し、双方で交渉して合意します。話し合う前提を話し合う感じですな。
続いて、鍵交換をします。ただし、データを送り合うための暗号鍵ではなく、制御用の暗号鍵(共通鍵)です。Diffie-Hellman鍵交換と呼ばれる方式を使います。ざっくりいうと、鍵そのものを送り合うのではなく、ヒントを送り合って、相互に鍵を生成する方法です。
続いて、相互に認証を行います。上記で交換した鍵を使って、このプロセスから暗号化を始めます。暗号化された状況のもと、安全に相互に認証をします。
はい、本日はここまで。もっと掘り進めたかったのですが、いったんここで区切りましょう。今回は、IPsecの通信手順の基本的な考え方と、IKEフェーズ1の概要をお話ししました。
次回は、IKEフェーズ2の概要から始めましょう!
では!