[Software]

Windows 2000のIPSecで3DESによる暗号化を有効にする方法

澤谷琢磨
2000/12/19

 Windows 2000が標準でサポートしているIPSecでは、パケットの暗号アルゴリズムにDES(Data Encryption Standard)または3DESアルゴリズムを使用する(IPSecについては、「技術解説 :IT管理者のためのIPSec講座」参照のこと)。DESとは、暗号化と復号化で同じ鍵(56bits長)を用いる共有鍵暗号化方式秘密鍵暗号化方式)の1つである。DESは、暗号アルゴリズムとしては設計が古く、また鍵長も56bitと短いため、現在では安全な暗号化方式とはいえなくなっている。そのため、異なる鍵を用いてDESアルゴリズムを3重に適用し、実効鍵長をより長くした3DES(トリプルDES)がDESに代わって普及している。3DESでは、DESを3回繰り返すため、処理時間はDESに比べ長くなるのが欠点だが、暗号の強度は3DESを用いたほうが高い。

 Windows 2000英語版では、3DESをIPSecの暗号化アルゴリズムとして設定しても有効にはならず、DESを用いて暗号化される。これは暗号化アルゴリズムに対する輸出規制に対応するためだ。3DESを有効にするには、別途配布されている「High Encryption Pack(日本名:高度暗号化パック)」を入手するか、Windows 2000日本語版のパッケージに標準添付されているフロッピーディスクを使って、インストールする必要がある。

 問題なのは、Windows 2000日本語版では3DESを有効にする方法について記述があいまいな点だ。日本語版のIPSecに関するドキュメント、あるいは高度暗号化パックに関する記述を読む限り、3DESを有効にするために必要な作業については述べられていない。3DES処理をハードウェア・アクセラレーションするIntel PRO/100 Sマネージメント・アダプタの日本語版サポート・ページでは、Windows 2000日本語版は出荷状態で3DESをサポートしているとしている。

 ところが実際に、Windows 2000日本語版でIPSecを有効にすると、次のメッセージがイベントビューアに記録される。場所は[アプリケーション ログ]の[Oakley]である。

[注意]

「ISAKMP/Oakley 用の IP セキュリティ ポリシーで指定された暗号化アルゴリズムは、暗号輸出規制のため無効です。ISAKMP/Oakley で使われているすべての 3DES 暗号化は、より強度の低い標準 DES 暗号化に設定されました。通常はこれで問題ありません。それでも ISAKMP/Oakley は IP セキュリティ パラメータをネゴシエート、および DES 暗号化でそのネゴシエーションを保護できます。3DES 暗号化を使って ISAKMP/Oakley ネゴシエーションの保護が必要な場合に限り問題になります。その場合は、ネットワーク管理者に問い合わせてください。」

 これは、High Encryption Packを適用する前のWindows 2000英語版で、3DESを有効にした場合に表示されるメッセージと同じ内容である。このとき、3DESではなく、DESでパケットの暗号化が行われていることは、IPSecの動作状態をモニタする[IPセキュリティ モニタ](Windows 2000に標準付属する)で確認できる。

Windows 2000日本語版のIPセキュリティ モニタ
IPセキュリティ モニタ(IPSECMON.EXE)は、IPSecを用いた通信の状態を表示する、Windows 2000に標準添付のアプリケーションである。
  ESP(カプセル化セキュリティペイロード、暗号化されたIPパケット)の暗号化アルゴリズムに3DESを用いるようWindows 2000(高度暗号化パック未適用)を設定したが、実際にはDESが用いられている。

3DESを用いるには高度暗号化パックのインストールが必要

 Windows 2000日本語版で3DESを有効にするには、Windows 2000英語版と同様、高度暗号化パックをインストールする必要がある。このことがマイクロソフトのIPSec関連の資料ではっきりと示されていない理由は不明だ。

 高度暗号化パックは、Windows Updateを用いてインストールできる。ダウンロードのみの場合は、マイクロソフトのWindows 2000のホームページで入手可能だ。ここでは、通常版(192Kbytes)に加え、管理者向けの再配布版(320Kbytes)も入手できる。

 高度暗号化パックは、Windows 2000の暗号強度を実用的な3DESの水準に引き上げるために必要だが、アンインストールが行えないので、大量導入前には十分なテストを行いたい。また、高度暗号化パックはWindows 2000 Service Pack 1には含まれていないので、別途入手する必要がある(Windows 2000日本語版のパッケージにはフロッピーディスクで添付されている)。なお、高度暗号化パックのインストールは、Service Pack適用前、適用後のどちらでも可能だ。記事の終わり

  関連記事
IT管理者のためのIPSec講座

  関連リンク
PRO/100 S日本語版のサポート・ページ
Windows Updateページ
Windows 2000のホームページ

「PC TIPS」


System Insider フォーラム 新着記事
  • Intelと互換プロセッサとの戦いの歴史を振り返る (2017/6/28)
     Intelのx86が誕生して約40年たつという。x86プロセッサは、互換プロセッサとの戦いでもあった。その歴史を簡単に振り返ってみよう
  • 第204回 人工知能がFPGAに恋する理由 (2017/5/25)
     最近、人工知能(AI)のアクセラレータとしてFPGAを活用する動きがある。なぜCPUやGPUに加えて、FPGAが人工知能に活用されるのだろうか。その理由は?
  • IoT実用化への号砲は鳴った (2017/4/27)
     スタートの号砲が鳴ったようだ。多くのベンダーからIoTを使った実証実験の発表が相次いでいる。あと半年もすれば、実用化へのゴールも見えてくるのだろうか?
  • スパコンの新しい潮流は人工知能にあり? (2017/3/29)
     スパコン関連の発表が続いている。多くが「人工知能」をターゲットにしているようだ。人工知能向けのスパコンとはどのようなものなのか、最近の発表から見ていこう
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

System Insider 記事ランキング

本日 月間