[index] CentreCOM AR450S コマンドリファレンス 2.9

暗号/概要・基本設定

  - ユーザーモジュール
  - 暗号アルゴリズム
   - DES
   - 3DES
   - AES
   - RSA
  - 認証アルゴリズム
   - HMAC-MD5-96
   - HMAC-SHA-1-96
  - 鍵交換アルゴリズム
  - 鍵作成・保存機能
   - ISAKMPの事前共有鍵（pre-shared key）

本製品の暗号モジュール（ENCOモジュール）について説明します。

ENCOモジュールは、本製品のセキュリティー機能の土台となるベースモジュールです。IPsecやSSHなどのセキュリティー機能は、すべてENCOモジュールを利用して実現されます。

ENCOモジュールが提供する機能は次のとおりです。

暗号アルゴリズム：56ビットDES、168ビット3DES、128/192/256ビットAES、RSA公開鍵暗号
認証アルゴリズム：HMAC-MD5-96、HMAC-SHA-1-96
鍵交換アルゴリズム：Diffie-Hellman
鍵作成・保存機能

Note - 3DES、AESを使用するにはフィーチャーライセンスAT-FL-12が必要です。

ENCOモジュールが実際に提供している機能を確認するには、SHOW ENCOコマンドを使います。

Note - 暗号関連の機能を実際に使用するときは、ルーターの動作モードをセキュリティーモードに変更する必要があります。詳細は「運用・管理」/「セキュリティー」をご覧ください。

ユーザーモジュール

ENCOサービスを利用する上位モジュールを、ENCOモジュールの「ユーザーモジュール」と呼びます。ユーザーモジュールには、以下のものがあります。

■ IPsec（ISAKMP/IKE、AH、ESP）
DES、3DES、AES、HMAC-MD5-96、HMAC-SHA-1-96、Diffie-Hellmanを使用します。詳細については「IPsec」の章をご覧ください。

■ SSH
DESとRSAを使用します。詳細については「運用・管理」/「Secure Shell」をご覧ください。

以下、ENCOモジュールが提供する各種サービスの設定方法について説明します。ENCOモジュールは単独で使用するものではなく、より上位のプロトコルやサービスと組み合わせて使用するため、関連する他の章もご参照ください。

暗号アルゴリズム

ENCOモジュールは、共通鍵暗号DES（鍵長56ビット）、3DES（鍵長168ビット）、AES（鍵長128/192/256ビット）と公開鍵暗号RSA（鍵長256～2048ビット）をサポートしています。

DES

共通鍵暗号DES（56ビット）は、IPsec（ESP）、ISAKMP、SSHのセッション鍵として使用されます。

DESで使用する鍵を作成するには、CREATE ENCO KEYコマンドのTYPEパラメーターにDESを指定します。鍵は、ランダムに生成することも、他のルーターで作成した鍵の値を入力して使うこともできます。

■ DES鍵をランダムに生成するには、RANDOMオプションを使います。

CREATE ENCO KEY=1 TYPE=DES DESCRIPTION="my DES key" RANDOM ↓

Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。

Note - ルーター上で作成した鍵は、設定ファイルとは別個にフラッシュメモリー上に格納されます。鍵はセキュリティーモードでないと再起動によって消えてしまうため、再起動前にセキュリティーモードへの移行を忘れずに行ってください。

■ 作成した鍵の値を表示するには、SHOW ENCO KEYコマンドを使います。鍵は本製品独自の5ビットASCII形式と16進数形式で表示されます。

SHOW ENCO KEY=1 ↓

SecOff > show enco key=4

  j7amxbbrhun48a
  0x4F40CB84313D1BAF


IP Address:
-

■ DES鍵は値を指定して作成することもできます。これは、他のルーターでランダムに生成した鍵を別のルーターに入力するときに使います。値の指定には、「0x」で始まる16進数で指定する方法と、本製品独自の5ビットASCII形式で指定する方法があります。

16進数で指定する場合は先頭に「0x」を付けます。長さは8バイト（64ビット）です。

CREATE ENCO KEY=1 TYPE=DES DESCRIPTION="DES key" VALUE=0xF888CAC6C66ECF52 ↓

Note - DESの鍵長は56ビットですが、パリティー情報などを含めると64ビットになります。

5ビットASCII形式は、小文字のアルファベットa～zと数字の2～9だけで構成される文字列で指定する方法です。鍵を生成したルーター上でSHOW ENCO KEYコマンドを実行したときに表示される文字列を入力してください。

CREATE ENCO KEY=1 TYPE=DES DESCRIPTION="DES key" VALUE=9cemvrwgn5hvek ↓

3DES

共通鍵暗号3DES（168ビット）は、IPsec（ESP）、ISAKMPのセッション鍵として使用されます。

Note - 3DESを使用するにはフィーチャーライセンスAT-FL-12が必要です。

3DESで使用する鍵を作成するには、CREATE ENCO KEYコマンドのTYPEパラメーターに3DESOUTERを指定します。鍵は、ランダムに生成することも、他のルーターで作成した鍵の値を入力して使うこともできます。

■ 3DES鍵をランダムに生成するには、RANDOMオプションを使います。

CREATE ENCO KEY=1 TYPE=3DESOUTER DESCRIPTION="my 3DES key" RANDOM ↓

Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。

Note - ルーター上で作成した鍵は、設定ファイルとは別個にフラッシュメモリー上に格納されます。鍵はセキュリティーモードでないと再起動によって消えてしまうため、再起動前にセキュリティーモードへの移行を忘れずに行ってください。

■ 作成した鍵の値を表示するには、SHOW ENCO KEYコマンドを使います。鍵は本製品独自の5ビットASCII形式と16進数形式で表示されます。

SHOW ENCO KEY=1 ↓

■ 3DES鍵は値を指定して作成することもできます。これは、他のルーターでランダムに生成した鍵を別のルーターに入力するときに使います。値の指定には、「0x」で始まる16進数で指定する方法と、本製品独自の5ビットASCII形式で指定する方法があります。

16進数で指定する場合は先頭に「0x」を付けます。長さは24バイト（192ビット）です。

CREATE ENCO KEY=1 TYPE=DES DESCRIPTION="DES key" VALUE=0x112233445566778811223344556677881122334455667788 ↓

Note - 3DESの鍵長は168ビットですが、パリティー情報などを含めると192ビットになります。

AES

共通鍵暗号AES（128/192/256ビット）は、IPsec（ESP）、ISAKMPのセッション鍵として使用されます。

Note - AESを使用するにはフィーチャーライセンスAT-FL-12が必要です。

AESで使用する鍵を作成するには、CREATE ENCO KEYコマンドのTYPEパラメーターにAES128、AES192、AES256を指定します。鍵は、ランダムに生成することも、他のルーターで作成した鍵の値を入力して使うこともできます。

■ AES鍵をランダムに生成するには、RANDOMオプションを使います。

CREATE ENCO KEY=1 TYPE=AES192 DESCRIPTION="192-bit AES key" RANDOM ↓

Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。

Note - ルーター上で作成した鍵は、設定ファイルとは別個にフラッシュメモリー上に格納されます。鍵はセキュリティーモードでないと再起動によって消えてしまうため、再起動前にセキュリティーモードへの移行を忘れずに行ってください。

■ 作成した鍵の値を表示するには、SHOW ENCO KEYコマンドを使います。AES鍵は16進数形式で表示されます。

SHOW ENCO KEY=1 ↓

■ AES鍵は値を指定して作成することもできます。これは、他のルーターでランダムに生成した鍵を別のルーターに入力するときに使います。値は「0x」で始まる16進数で指定します。

16進数で指定する場合は先頭に「0x」を付けます。

CREATE ENCO KEY=1 TYPE=AES DESCRIPTION="His 192-bit AES key" VALUE=0x1a39dd7a7caa5523192138a5a4996347366879531329e0f8 ↓

Note - AES鍵の入力時には5ビットASCII形式は使用できません。

RSA

RSA公開鍵は、SSHのサーバー鍵、ホスト鍵、認証鍵として使われます。

■ RSA鍵ペアを作成するには、CREATE ENCO KEYコマンドのTYPEパラメーターにRSAを指定し、LENGTHで鍵の長さ（ビット）を指定します。有効範囲は256～2048ビットです。鍵は長いほど安全性が高まりますが、作成に時間がかかるようになります。現実的な鍵長は1024ビットと言われています。

CREATE ENCO KEY=2 TYPE=RSA LENGTH=1024 DESCRIPTION="my key pair" ↓

Note - RSA鍵の作成には時間がかかります。上記コマンドを入力すると「RSA Key Generation process started.」と表示されます。鍵の作成中はCPU負荷が高くなります。鍵の作成が終わると「RSA Key generation process completed.」と表示されます。

Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。

Note - ルーター上で作成した鍵は、設定ファイルとは別個にフラッシュメモリー上に格納されます。鍵はセキュリティーモードでないと再起動によって消えてしまうため、再起動前にセキュリティーモードへの移行を忘れずに行ってください。

■ 作成した鍵ペアから公開鍵をファイルに書き出すには、CREATE ENCO KEYコマンドのFILEパラメーターで書き出し先のファイル名（拡張子は.key）を指定し、KEYパラメーターには作成した鍵ペアの番号を指定します。鍵ファイルのフォーマットをFORMATパラメーターで指定することもできます。

CREATE ENCO KEY=2 TYPE=RSA FILE=mypublic.key ↓

■ 鍵ファイルから公開鍵を取り込むには、CREATE ENCO KEYコマンドのFILEパラメーターに既存の鍵ファイル（拡張子は.key）を指定し、KEYパラメーターには未作成の（空いている）鍵番号を指定します。また、鍵ファイルのフォーマットをFORMATパラメーターで指定することもできます。

CREATE ENCO KEY=3 TYPE=RSA FILE=hispublc.key DESCRIPTION="His public key" ↓

■ 作成した鍵の情報はSHOW ENCO KEYコマンドで確認できます。


SHOW ENCO KEY ↓

SHOW ENCO KEY=3 ↓

Manager > show enco key

   ID  Type      Length Digest   Description              Mod   IP
   ---------------------------------------------------------------------------
    1  DES            8 1F35B264 my DES key               -     -
    2  RSA-PRIVATE 1024 EA83BD2C my key pair              -     -
    3  RSA-PUBLIC   768 0ADBE436 His public key           -     -

認証アルゴリズム

ENCOモジュールは、データ認証アルゴリズムとして、ハッシュ関数HMAC-MD5-96とHMAC-SHA-1-96をサポートしています。これらのアルゴリズムは、IPsec（AH、ESP）やISAKMPのデータ認証処理に使用されます。

ハッシュアルゴリズムはソフトウェア的に実装されています。

HMAC-MD5-96

HMAC-MD5-96では、16バイト（128ビット）の汎用鍵を使います。

■ 鍵をランダムに生成するには次のようにします。

CREATE ENCO KEY=10 TYPE=GENERAL LENGTH=16 RANDOM DESCR="My MD5 key 1" ↓

■ 鍵の値を16文字の文字列で指定することもできます。

CREATE ENCO KEY=11 TYPE=GENERAL VALUE="jogefogejogefoge" DESCR="My MD5 key 2" ↓

■ 鍵の値を16バイトの16進数で指定することもできます。

CREATE ENCO KEY=12 TYPE=GENERAL VALUE=0x000102030405060708090a0b0c0d0e0f DESCR="My MD5 key 3" ↓

■ 作成した鍵の値を表示するには、SHOW ENCO KEYコマンドを使います。

SHOW ENCO KEY=10 ↓

SecOff > show enco key=10

0x281bd343a63e63d37b49f10c0b217dd2

IP Address:
-

HMAC-SHA-1-96

HMAC-SHA-1-96では、20バイト（160ビット）の汎用鍵を使います。

■ 鍵をランダムに生成するには次のようにします。

CREATE ENCO KEY=20 TYPE=GENERAL LENGTH=20 RANDOM DESCR="My SHA key 1" ↓

■ 鍵の値を20文字の文字列で指定することもできます。

CREATE ENCO KEY=21 TYPE=GENERAL VALUE="fugafugafugafugafuga" DESCR="My SHA key 2" ↓

■ 鍵の値を20バイトの16進数で指定することもできます。

CREATE ENCO KEY=22 TYPE=GENERAL VALUE=0x000102030405060708090a0b0c0d0e0f00010203 DESCR="My SHA key 3" ↓

■ 作成した鍵の値を表示するには、SHOW ENCO KEYコマンドを使います。

SHOW ENCO KEY=20 ↓

SecOff > show enco key=20

0xca59ba48cd4e1c8d5ed3ad62ce786758cb01dcf3

IP Address:
-

鍵交換アルゴリズム

ENCOモジュールは、鍵交換のためのアルゴリズムとしてDiffie-Hellmanアルゴリズムをサポートしています。

Diffie-Hellmanアルゴリズムの処理は、大きくわけて2つの段階に分けられます。最初の段階では、鍵交換を行う両者がそれぞれ乱数を生成し、既定式との計算結果を互いに交換します。第2段階では、相手から入手した値と自分で生成した乱数値から秘密鍵の値を求めます。これら2つの段階は、内部的にはさらに細かく分割されており、ルーター本来の処理に与える影響を少なくしています。

いずれにしても、鍵の計算処理は非常にCPU時間を消費する処理です。本製品では、SET ENCO DHPRIORITYコマンドで、Diffie-Hellmanアルゴリズムの処理優先度を変更できるようになっています。優先度には、HIGH、MEDIUM、LOWの3つがあり、デフォルトはHIGHです。Diffie-Hellman処理の優先度を低くするには次のようにします。

SET ENCO DHPRIORITY=LOW ↓

ENCOモジュールでは、Diffie-Hellmanアルゴリズムで使用される公開値のうち、RFC2412で規定されているDiffie-Hellman（OAKLEY）グループ1（768ビット値）とグループ2（1024ビット値）をサポートしています。

鍵作成・保存機能

ENCOモジュールの重要な機能の1つに、各種の暗号・認証アルゴリズムで使用する鍵の作成と保存のための機能があります。

本製品上で鍵を使用するには、CREATE ENCO KEYコマンドを実行して、ENCOモジュールに鍵を登録する必要があります。鍵は、ランダムに生成して登録することも、他のルーターで生成した鍵の値を入力することによって登録することも、また、あらかじめ定められた形式のファイルから鍵を取り込んで登録することもできます。また、作成したRSA鍵ペアの公開鍵をファイルに書き出し、他者に配布することもできます。

登録された鍵は、CREATE CONFIGコマンドで作成する設定スクリプトは別個にフラッシュメモリー上に格納されます。ただし、セキュリティーモードでない場合は、ルーターの再起動によって消去されてしまうため、鍵を使用する場合は必ずセキュリティーモードに移行するようにしてください。

鍵の作成方法は、使用するアルゴリズムによって異なります。DES、3DES、AES、RSA、MD5、SHAで使用する鍵の作成方法については、各アルゴリズムの設定手順をご覧ください。ここでは、これらに当てはまらないISAKMPの事前共有鍵の作成方法についてのみ解説します。

ISAKMPの事前共有鍵（pre-shared key）

ISAKMPで使用する事前共有鍵は、任意の長さの汎用鍵（パスフレーズ）です。次のようにして作成してください。

CREATE ENCO KEY=30 TYPE=GENERAL VALUE="onetwothree" DESCRIPTION="ISAKMP pre-shared key" ↓

PN: J613-M3069-03 Rev.L