IP セキュリティーとオペレーティング・システム

オペレーティング・システムでは、Internet Engineering Task Force (IETF) によって開発された、 オープンでスタンダードなセキュリティー・テクノロジーである IP セキュリティー (IPsec) が使用されます。

IPsec は、通信スタックの IP 層において、暗号に基づくすべてのデータの保護を提供します。 既存のアプリケーションを変更する必要はありません。 IPsec は、IP バージョン 4 と 6 の両方の環境のために IETF によって選択された、 業界標準のネットワーク・セキュリティー・フレームワークです。

IPsec は、次のような暗号化手法を使用してデータ・トラフィックを保護します。

認証

ホストまたはエンドポイントの ID を確認するプロセス

保全性検査

ネットワークでの転送中に、データに対して変更が行われないことを保証するプロセス

暗号化

ネットワークでの転送中に、データおよび私用 IP アドレスを「隠す」ことによって、 プライバシーを守るプロセス

認証アルゴリズムは、暗号ハッシュ関数を使用して、 秘密鍵を使用するデータ・パケット (固定の IP ヘッダー・フィールドを含む) を処理し、 固有のダイジェストを作成します。これにより、送信側の ID とデータ保全性が証明されます。 受信側で、データは同じ機能と鍵を使用して処理されます。 データが変更されているか、または送信側の鍵が無効である場合、データグラムは廃棄されます。

暗号化は、暗号アルゴリズムを使用し、暗号テキストと呼ばれる暗号化データを作成するための特定のアルゴリズムと鍵を使用して、データを変更し、ランダム化します。 暗号化によって、転送中のデータは読み取り不能になります。 データは、受信されると、同じアルゴリズムと鍵を使用して (対称的な暗号化アルゴリズムを使用して) リカバリーされます。 暗号化されたデータの保全性を確保するには、暗号化と認証の両方を行う必要があります。

IPsec の場合、上記の基本サービスは、 Encapsulating Security Payload (ESP) および Authentication Header (AH) を使用して実行されます。 ESP は、元の IP パケットを暗号化し、ESP ヘッダーを作成し、 暗号テキストを ESP ペイロードに置くことによって、機密性を確保します。

機密が問題でないときは、認証と完全性の検査に AH のみを使用することができます。 AH を使用すれば、IP ヘッダーの 静的フィールドおよびデータにハッシュ・アルゴリズムが適用され、鍵付きダイジェストが計算されます。 受信側は、その鍵を使用してダイジェストの計算および比較を行って、 パケットが変更されていないこと、および送信側の ID が認証されていることを確認します。