見出し画像

安全な通信のための準備手順:IPsecのIKEフェーズ

はい、こんにちは!専用線を使ったかのようにデータを安全に送り、暗号化と認証を実現する「VPN」のお話しをしております。

前回は、IPsecの動作モードのうち、「トンネルモード」についてご紹介しました。「トランスポートモード」と異なり、ヘッダを含むIPパケット全体を暗号化するのでしたね!拠点間のVPNとして広く使われているのでした。

さて、今回からは、そのIPsecの通信手順についてお話しします。これがちょっと複雑で分かりにくいのです。鍵交換を2回行ったり、トンネルを3つ作ったり…。でも、できるだけ分かりやすく整理いたします!

この記事では、IKEフェーズ1なるものの概要まで話しますよ。

では、いってみよう!

3ステップで安全な通信を確立

IPsecでいざ通信を始めようと思っても、いきりなりデータを送ることはできません。暗号化、認証はどのように行うかを決めて鍵交換し、通信する通路を作らねばなりません。

IPsecでは、これらの手順が3段階(フェーズ)に分かれます。次の3つです。

  • IKEフェーズ1

  • IKEフェーズ2

  • IPsecフェーズ

準備段階がIKEフェーズで、実際に送りたいデータの通信がIPsecフェーズです。

IKEは、Internet Key Exchangeの略で、IPsecでデータの送受信を行うために必要な暗号鍵(共通鍵)を交換するためのプロトコルです。

3段階もあって、暗号鍵を交換するまでに2段階もあるんだな~、と抑えましょう。

ちなみにですが、IKEはどう読むと思います?私はずっと、「イケフェーズ」と読んでいたのですが、実際は「アイク」と発音することが多いようです。「イケてるフェーズ」みたいで勝手に親しみをもって覚えておりました♪。

トンネルを3つも作る

さて、このIPsecの通信手順ですが、技術的に詳細を調べると、もう、泥沼にはまります。重要そうな概念がいっぱい登場するのです…。

ですから、ここでは各フェーズの大きな流れを確認してから、少しずつ進むようにしたいと思います~!

IKEフェーズ1

この最初のフェーズは、大きく3つの作業があります。

IKEフェーズ1のシーケンス図

最初にパラメータの交渉を行います。「暗号化アルゴリズムはどうしますか?認証方式はどうしますか?」などパラメータを提案し、双方で交渉して合意します。話し合う前提を話し合う感じですな。

続いて、鍵交換をします。ただし、データを送り合うための暗号鍵ではなく、制御用の暗号鍵(共通鍵)です。Diffie-Hellman鍵交換と呼ばれる方式を使います。ざっくりいうと、鍵そのものを送り合うのではなく、ヒントを送り合って、相互に鍵を生成する方法です。

続いて、相互に認証を行います。上記で交換した鍵を使って、このプロセスから暗号化を始めます。暗号化された状況のもと、安全に相互に認証をします。


はい、本日はここまで。もっと掘り進めたかったのですが、いったんここで区切りましょう。今回は、IPsecの通信手順の基本的な考え方と、IKEフェーズ1の概要をお話ししました。

次回は、IKEフェーズ2の概要から始めましょう!

では!


いいなと思ったら応援しよう!