お品書き
はじめに セキュリティ概念 IPsecとは? 盗聴と改竄について 隠すセキュリティ ハッカーとクラッカー 鍵配送問題 ハイブリッド暗号 鶏と卵の話 人間プロトコル 公開鍵暗号 IPsec 手動鍵と自動鍵交換
お品書き手動鍵と自動鍵交換-その2-
引き続き、手動鍵と自動鍵交換についての一般的な話を紹介します。
以下、2人の会話をご覧ください
 |
せんぱ~い (^ー^) |
 |
長かった前振りが終わって、やっと本題だねぇ。 |
|
そうですね~。 途中、いらない前振りもたくさんあったような気がしますが。( ̄~ ̄; |
|
それは、気のせいだ。 間違いなく、気のせいだ。( ̄△ ̄) |
|
わ、分かりましたから。 二回言わなくても大丈夫です。( ̄◇ ̄; |
|
今日はストレートに、IPsecの話に入ろう。 まだ、フェーズが2つあるっていう話しかしてなかったよね? |
|
あ、そうです。 そこから、認証とか暗号の話に入っていったんですよ。 |
|
そっか。 じゃあ、フェーズが分かれてる理由から始めて、あと細かい仕組みについて説明していけばいいかな? |
|
そですね。 でも、もう理由は何となく分かりますけどね。 |
|
ほぉ。(-ω-` ) では、言ってみそ? |
|
コホン、、、(・ω・) 公衆ネットワーク上でのデータ転送に使用する暗号トンネルで適用する共通鍵を、トンネル終端の双方で安全に交換するために、相互の認証などを含めた更に安全な経路を確保したいから、ですよね? |
|
ス、、、(;゚д゚) |
|
、、、ス? |
|
ス、スゲ~!(;゚д゚) |
|
えっへん!(-ω☆) |
|
そんな難しくて理屈っぽくて長いセリフを、スラスラと言えるのがスゲ~!(;゚д゚) |
|
あらら、そっちですか。ε=(´∇`;) 肝心の答えは、合ってます? |
|
うん、要するにハイブリッド暗号のイメージだよね。 2種類のトンネルが連携して、必要な鍵を自動的に交換する。 |
|
フェーズ1が認証を含めた強固なトンネル、フェーズ2がデータ転送のトンネル。 フェーズ2で使用する鍵を定期的にフェーズ1のトンネルで交換。 |
|
そうだね。 この仕組みは自動的に走るから、あんまり意識しなくても大丈夫。 |
|
便利ですねぇ。 人間の手間を出来るだけ省きつつ、公衆網でのデータ交換の安全性を最大限に高めているんですね。 |
|
うん。 アルゴリズムの性能に依存するけど、実質は専用線に近いレベルと言っていいんじゃないかな。 |
|
やり方が違うから、単純には比べられませんけど。 見られないようにする努力と、見られても大丈夫にする努力と。 |
|
気持ちの問題っていうのも、大いにあるね。 見られなければ安全っていうのは間違いないけど、見られても大丈夫っていうのは保証できないよね。 |
|
そういう意味だと、使える環境も限られてくるんでしょうか? 特にセキュリティ絡みの要件だと、技術的に必要かどうかに関係なくやるっていうこともありますし。 |
|
お金とか機密情報を扱う環境だと、そういうのあるね。 専用線を使う上に、更に暗号化するとか。(´・ω・`)b |
|
へぇ、、、 確かに、そこまでする必要あるのかっていう感じします。 |
|
結局これは技術的な話というより、途中の経路が本当に誰からも見えなくなっているかどうかを確認できない、っていうことなんだろう。 |
|
あ~、例えば回線業者が管理している部分は信用できないということですか。 なんか、回線業者がムッとしそうです。(θ_θ;) |
|
それを決めた人も、本気で回線業者の人が覗くなんて考えてるわけじゃないんだよ、きっと。┐(´ー`)┌ 問題ないのかと問いかけられたときに、自分で把握できていない部分だから答えられない、という状況を作りたくないんじゃないかな。 |
|
むぅ、なんか大人の事情っていうカンジ。 ( ̄△ ̄; でも、どのみち見られているという前提だったら、思い切って公衆網にするっていうのもアリなんじゃないですか? |
|
いや、それは違うな。 専用線には、もうひとつ良いところがあるデショ? |
|
、、、あそか。 物理的に、線の両端の人しか繋げられないっていうのがありますね! |
|
そそ。 よく分からない人たち、つまり第三者に利用させないことは重要だからね。 |
|
う~ん、確かに言われてみればそのとおりなんですが、、、 今の一連の話を自発的に思いつくのは、ムリっぽい、、、(-_-;) |
|
今の例は少し大げさだけど、ITの世界に限らず、セキュリティの仕組みって大体こんな感じの考え方だよ。 全体的には堅牢に見えても、ほんのチョットの抜け穴があったら、そこを見抜かれた時点でアウトだから。(o・ω・o)b |
|
なるほど、それはナットクです。 侵入者にとっては、正面玄関から入るのもトイレの小窓から入るのも一緒ですからね。 |
|
そゆこと。 攻撃される側は常に受け身だから、圧倒的に不利なんだよ。 |
|
それで、出来ることは出来るだけやっておきたいわけですね~。 |
|
ひと昔前は、専用線とか閉域網を使うっていうだけで充分だったんだけどね。 IPsecも、手動鍵しか実装してなかったし。 |
|
えっ、最初から自動鍵交換じゃなかったんですか? w(゜o゜)w |
|
あ~、今ではすっかり昔話なんだねぇ。( ̄ω ̄;) 元々のIPsecには、鍵を交換する仕組みなんて付いてないんだよ。 |
|
え~っ? じゃあ、どうやって鍵を交換するんです? |
|
文字通り、手でやるんだよ。 要するに、普通のパスフレーズ認証とほとんど一緒だネ。 |
|
え~、マジですか? それじゃ、今まで積み重ねてきた話が、みんなパァですよ。。。orz |
|
まぁまぁ、、、ヾ(´O`ヾ) 逆に、そういう感想を持ってくれて嬉しいよ。 |
|
(?_?) |
|
予備知識ナシで手動鍵の話を聞いてたら、きっと何の感想も持たずにスルーしてたデショ? ちゃんと内容まで理解してくれていて嬉しい、っていうこと。 |
|
や、やだ、、、ヾ(´▽`;ゝ そんな褒め方されると、照れちゃいますよ。(* ̄ー ̄)> |
|
いやいや、その理解度の高さは素晴らしい。 |
|
いや~~~(≧▽≦) |
|
それにも増して、そのレベルになるまで懇切丁寧に教えた人は、もっと素晴らしい。 |
|
、、、なんだ、結論はソコですか。(;´▽`)ノ でも、その点についてはまったく異論ないですヨ。 |
|
おほっ ∑( ̄Д ̄;) 素直に受け入れられると、なんかスベったみたいな感じに、、、 |
|
いやいや。 知識ゼロの人にセキュリティの何たるかを理解させるなんて、なかなか出来ることじゃないですよ。( ̄ー ̄)ノ |
|
ぶっ!( ̄◇ ̄; |
|
しかも、聞き手を飽きさせないように適度な雑談を入れてバランスを取るなんて、もはや神業です。( ̄ー ̄)ノ |
|
ぐはぁ!(@Д@;) |
|
フッフッフッ、、、 どうですか、私のホメ殺し返しの切れ味は?( ^ー^)_σ |
|
くそぅ、ならばこっちもホメ殺し返し返しを、、、! 、、、いや、不毛だからヤメとこ。( ̄◇ ̄; |
|
はは、、、 いや、でも本当にそう思ってますヨ? |
|
ぐはぁ!(@Д@;) |
|
いや、もうホメ殺し返しは終わりましたから。(;´▽`)ノ |
|
そ、そか。 つい、反射的に、、、 |
|
せんぱいは、ホメ殺しが苦手だったんですね~。 覚えとこっと。(  ̄ー ̄) |
|
。。。(TεT;) |
|
ソレはソレとして、、、 どこかのタイミングで、手動鍵から自動鍵交換に変わったんですよね? |
|
え、あぁ。 ISAKMPっていう鍵交換用のプロトコルがあって、これとセットにして動かすようになったんだよ。 |
|
イサ、、、 何て読むんですか、ソレ? |
|
アイサカンプ、だね。 その後に修正されて原型から変わっていて、今はIKEっていうことが多いけど。 |
|
アイケーイー、ですか。 イケ、とは読まないんですネ。 |
|
アイクと読む人はいるけど、イケは聞いたことないぞぅ。 そういえばPKIのときもプキって言ってたけど、出来るだけ短く読みたい派? |
|
いや、特にそういうわけじゃないんですよ。 似たような略語でも、例えばGUIをグイと読むのは微妙に抵抗ありますし。(´・ω・`) |
|
あ~、それは少し分かるなぁ。 ダメじゃないけど、ちょっと照れがある感じ。 |
|
そうなんですよね~。 さっきのアイサカンプみたいに、日本語と全く違う響きなら問題ないんですけど。 |
|
存在しないけど、もしも「UNCO」みたいな略語が出てきたら、みんなどうするんだろうか? |
|
か、考えたくないです。(; ̄Д ̄) っていうか、そんな略語を思いつかないでくださいヨ~。(;ω;`) |
|
いやいや、確率的には割と高いんじゃないかな。 最初にユナイテッドみたいに「U」が付いたり、最後にオーガナイゼーションみたいに「O」が付く略語って結構多いよね。( ̄~ ̄; |
|
イヤァ~~ッ(@Д@;) |
|
小学校の教科書に載せたら、真っ先に注目を浴びそうだネ。 |
|
小学生ぐらいの子供って、そのワードには異常に反応しますからね。(θ_θ;) インパクトがあるという意味では、フランシスコ=ザビエルにも勝てるんじゃないですか? |
|
おぉ、アレは強敵だな~。(´▽`) あのヘアスタイルと出で立ちは反則だよね。 |
|
私は確か、頭に一輪の花が咲いている絵を描きましたよ。 かわいくないですか?o( ̄ー ̄)o |
|
よく、そんなの憶えてるね。 うろ憶えだけど、「肉」って書いたかも。 |
|
おでこじゃなくて、頭のてっぺんに描いたんですか。 なんか違ウ。。。( ̄◇ ̄; |
|
いや、ツルッパゲでかわいそうだから真っ黒に塗りつぶしたかもしれないな。 ダメだ、思い出せない。。。 |
|
まぁ、ムリに思い出さなくても。 思い出として、心の片隅にとっておいてください。 |
|
もっと面白い落書き、いろいろあったんだけどね。 特に、ハゲてる人は描きやすかったかな。 |
|
毛がないぶんだけキャンバスが広い、っていうことなんでしょうね。(・ー・) |
|
キャンバスって、、、(; ̄ー ̄) 例えば、空海とか杉田玄白とか。 |
|
お坊さんとか僧侶は、基本的に坊主頭ですね。 ハゲ頭に書き足すのは、やっぱりヅラですか? |
|
そうだね、七三とかモヒカンとか、波平ヘアーとか。 定番といえば定番かもしれないな。 |
|
ハゲじゃなくても、滝廉太郎みたいに何となくイタズラしたくなる表情の人もいます。(>w< |
|
あ~、、、 写真写りの問題かもしれないけど、何とも言えないすまし顔が落書き意欲を掻き立てるねぇ。( ̄~ ̄; |
|
みなさんマジメ顔なだけに、とりあえず鼻血だしとけば面白くなりますよね。 |
|
あ、それも定番だね。 写真が顔だけだったら、その下に情けない体を描いて屁をこくとか。 |
|
吹き出しを付けて変なセリフ言わせるっていうのもありますけど、大喜利みたいでセンスが問われます。 |
|
確かに。 例えば「母ちゃ~ん!」みたいに誰が言っても失笑を得られるセリフもあるけど、出来ればそのキャラならではのグッとくるセリフを吐かせて知性をアピールしたいところ。 |
|
落書きひとつで知性をアピールなんて、ハードルが高いですねぇ。(^-^; 例えば、どんなのです? |
|
ん~、そうだなぁ、、、 「鉄の女サッチャー」に、「これでも爆笑中」とか。 |
|
ははっ、いいですねソレ。(*´v`*) じゃあ、聖徳太子に「俺の話も聞いてチョ」なんてどうです? |
|
お、おぉ~! w(゜o゜)w 即興とは思えない完成度だ。 |
|
やった! 座布団一枚!o( ̄ー ̄)o |
|
小野妹子なんて面白そうな気がするけど、ある意味ベタすぎて、逆につまらないかも。 |
|
そうですねぇ。 いまさら「俺は男だ~!」なんて言わせても、失笑を食らうだけでしょうね。 |
|
逆に、「そのまんまやんけ!」とか突っ込まれそうだ。 |
|
知名度は高いんですけどね。 小野妹子が男だっていうことを知っている人は多いけど、何やった人なのかまで知ってる人は少ないですよ。 |
|
え~と、何だったかなぁ。。。? 遣隋使だか、遣唐使だか、、、? |
|
あ~、どっちでしたっけ? 小野妹子さん、ごめんね。( ̄ω ̄;) |
|
多分、もう今後の人生で小野妹子について語ることもないだろうから、知らなくても問題ないだろう。 |
|
そ、それもそうですね。 小野妹子さん、さようなら~。( ̄ω ̄;) |
|
まぁ、UNKOと落書きの話は置いといてだな、、、 結論としては、イケとは読まずにアイケーイーと読んでくれ。 |
|
あらら、ムリヤリ戻しましたね。 しかも、いつのまにか「C」から「K」に変わってるし、、、( ̄ω ̄;) |
|
細かいことは気にしない。 最近では、もう手動鍵を使うこともないし、自動鍵交換だけ知っておけば問題ないよ。 |
|
そうですか。 基本的には、IKEがフェーズ1っていうことでいいですか? |
|
うん。 人によってはアイサカンプとかアイケーイーとか言い方が違うけど、どれもフェーズ1のことを言っていると考えてくれ。 |
|
分かりました。 フェーズ1と2については、こんなところでしょうか? |
|
そだね。 じゃあ、次からフェーズ1の細かい話をしよう。 |
|
はい~(*´▽`) |
これで、手動鍵と自動鍵交換の話は終了です。
以下、「メインモードとアグレッシブモード」につづく。。。
ネットワークセキュリティ関係者の部屋 > ネットワークセキュリティ実践劇場 > 手動鍵と自動鍵交換