IPsec(Security Architecture for Internet Protocol、アイピーセック)は、暗号技術を用いて、IPパケット単位でデータの改竄防止や秘匿機能を提供するプロトコルである。これによって、暗号化をサポートしていないトランスポートやアプリケーションを用いても、通信路の途中で通信内容を覗き見られたり改竄されることを防止できる。

IPsecはAH (Authentication Header) による完全性、認証機構、ESP (Encapsulated Security Payload) によるデータ暗号化等のセキュリティプロトコル　の他、IKE (Internet Key Exchange protocol) などによる鍵交換から構成されている。

IETFのipsec wgにて規格策定が行われていたが、現在その規格はほぼ固まっている。

IPv4, IPv6両者で利用できる。IPv6では専用の拡張ヘッダが定義されているが、IPv4ではIPヘッダオプションを利用する。

IPsecの動作モードにはパケットデータ部のみを暗号化(ないしは認証)するトランスポートモードと、ヘッダを含めたパケット全体を丸ごと「データ」として暗号化(ないしは認証)し新たなIPヘッダを付加するトンネルモードがある。トンネルモードは主としてVPNで使用される。

IPsecの利点・欠点

IPsecはネットワーク層のプロトコルを保護するので、暗号化がサポートされていない上位層やアプリケーションでもセキュリティの確保が可能になる。 一方で、暗号通信はネットワークスタック以下で行われるので、SSLを使用しているときのwebブラウザの鍵マークのように、ユーザーがどのプロトコルで暗号化されているかを容易に知ることができない。 そのため、専門の管理者が容易に管理しやすいGatewayでの設定が行えるような、VPNでの利用が現在の主な用途になっていることが多い。IPsecをVPNで利用する場合はIPアドレスを二重に付加するトンネルモードが利用できるが、IP 以外のパケットも伝達するためL2TPなどの拡張プロトコルが用いられる場合もある。

IPsecはAHの認証機能、ESPの暗号機能を組み合わせて使うことができ、AH/ESPそれぞれに様々なアルゴリズムを指定することができる。この柔軟さがIPsecの利点ではあるが、設定可能な組み合わせは膨大となり、通信する二点間で全ての設定が一致していなければ通信が成立しない。このためVPNのような特定2点間ならともかく、多台数間のIPsec通信を手動設定で行うのは実用上ほぼ不可能である(手動設定の場合は同じ鍵情報を長期間使い続けることになるため、セキュリティ強度の観点からも好ましくない)。 この手間を軽減するためネットワークで自動鍵交換を行うプロトコルも提案されているが、KINK, Photuris, IKEv1, IKEv2 など互換性のない複数の規格が並立してしまっている。最も普及しているIKEv1でも動作モード、認証パラメータ、認証方式、鍵交換アルゴリズム、暗号アルゴリズム、認証アルゴリズムなど設定項目の組み合わせが多い。総じて、IPsecを使うためには高度な専門知識が要求されるという欠点になってしまっている。

IPsecの仕組み

IPsecは同一ノード間の通信でも、プロトコルやポート番号などによって複数の暗号化方式や暗号鍵、セキュリティプロトコルを使用することができる。このように双方で共有するパラメータをSA(Security Association)といい、SAを管理するデータベースをSADという。どのプロトコルでどのSADを使うかを決めるのが、SP(Security Policy)で、SPを管理するデータベースがSPDである。 エンコードされたIPsecヘッダ(AH/ESP)には自身の所属するSAを示す32bitのID情報が付加され、これをSPIと呼ぶ。紛らわしいがSPIはSecurity Parameter Indexの略であり、Security Policyと直接の関係はない。

IPパケットを送信するノードは、そのIPパケットに合致するSPを探し、そのSPが示すSAの情報に基づいて暗号の処理を行う。受信時はAH/ESPのヘッダに含まれるSPIからSAが検索されて復号/認証処理が行われ、その処理結果がSPで規定されるセキュリティ要求を満たしているか否かの判定が行われる。

AH

AH (Authentication Header) は、認証、改竄防止機能を提供する。データそのものは暗号化されないので、盗聴防止には利用できない。RFC 1826 形式の AH には再送防止機能 (Anti Replay Counter) が無いが、RFC 2402 では 32 bit の、RFC 4302 では 64 bit のカウンタが付けられており、過去に送信されたパケットがコピー再送されても多重受信しない機能がオプションとして利用できる。

ESP

ESP (Encapsulated Security Payload) は Payload 部を暗号化する。正確には、IP ヘッダ、経路ヘッダ、ホップバイホップオプションヘッダを除いた部分が暗号化される。RFC 1827 形式の ESP には認証機能が無いが、RFC 2406 / RFC 4303 形式の ESP にはオプションとして「認証トレイラー」機能があり、AH を併用せずとも改竄防止機能を利用することが可能となっている (ただし保証されるのはデータ部分だけで、IP ヘッダ部分の改竄を検出することはできない)。また後者には AH 同様に再送防止機能も追加されている。

RFC 1826 / RFC 1827 形式の AH/ESP はそれ以降の RFC とヘッダ長が異なるため互換性がない。RFC 4302 / RFC 4303 形式の 64 bit カウンタは ESN (Extended Sequence Number) とも呼ばれるが、実際にパケットに付加されるのは下位 32 bit だけで、見た目は RFC 2402 形式のパケットと区別が付かない。ただし認証ベクタ (ICV) の算出には全 64 bit が使用されるため、RFC 2402 / RFC 2406 形式の IPsec と RFC 4302 / RFC 4303 形式の IPsec の間にも直接の互換性はない。RFC 4302 / RFC 4303 仕様の IPsec 実装で RFC 2402 / RFC 2406 形式と通信するためには、32 bit の互換カウンタ使用を明示指定する必要がある。

RFC182x 形式の IPsec を IPSECv1, RFC260x 形式を IPSECv2, RFC430x 形式を IPSECv3 と呼ぶこともあるが、これは非公式なものであり、IETF ではバージョン番号を与えていない。

IKE

IKE (Internet Key Exchange protocol) は SAD を構築するのに必要な鍵情報の交換を安全に行うプロトコル。IKEv1 (RFC 2409) と IKEv2 (RFC 4306) が定義されている。また IKEv1/v2 以外にも Photuris (RFC 2522), KINK (RFC 4430) などの鍵交換プロトコルが提案されている。

IKEv1

IKEv1は Internet Key Exchange protocol version 1 の意味であり、UDPポート番号500上で通信される鍵交換プロトコルである。開発時には ISAKMP/Oakley と呼ばれた過去があり、これはISAKMP(Internet Security Association and Key Management Protocol)プロトコルの上でOakley鍵交換手順を実装したものという意味である。すなわち、IKEv1はISAKMPと必ずしも同じものではない。

IKEv1はフェーズ1、フェーズ2と呼ばれる二段階の手順で鍵交換を行う。まずフェーズ1でIKEプロトコル同士の認証と暗号交換を行い（これをISAKMP SA交換とも呼ぶ）、フェーズ2でIPsecの適用条件と鍵情報の交換を行う（IPsec SA交換とも呼ぶ）。 フェーズ1にはMain Mode,Aggressive Modeと呼ばれる2つの手順がある。前者はISAKMP仕様におけるIdentity Protection Exchange手順の呼び名であり、後者はISAKMP仕様におけるAggressive Exchange手順の呼び名である。（用語定義の錯綜と難解さもIKEの理解を難しくしている理由の一つである）。 フェーズ2の通信はフェーズ1において成立した共有鍵を用いて暗号化される。フェーズ2の手順はQuick Modeと呼ばれ、これはISAKMPにはなくIKEv1で新たに定義されたものである。IKEv1の規格上ではNew Group Modeという手順も定義されているが、実際には殆ど使われていない。

Oakley鍵交換手順は公開鍵暗号を用いた鍵交換手順のアルゴリズムとパラメータのセットをいくつか定めたもので、アルゴリズムは大きく分けてDiffie-Hellman鍵共有(DH-MODP)と楕円曲線暗号(EC2N)の2種がある。鍵長はDH-MODPで768,1024,1536,2048,3072,4096,6144,8192bit、EC2Nで155,188,163,283,409,571bitが定義されている。

IKEの通信を行うノードをIKEピアと呼び、IKE要求を発行する側をイニシエータ、受信した側をレスポンダと呼ぶ。OakleyのパラメータやIPsec SAの詳細はイニシエータ側が使用可能な組み合わせを提示し（これをプロポーザルと呼ぶ）、レスポンダ側が最も適切と判断したものを選択して合意を取るという手順を踏む。何をもって「適切」とみなすかは実装と設定に依存し、これを「ポリシー」と呼ぶ場合もあるが、狭義の意味におけるIPsec Security Policyとは必ずしも同じニュアンスではないので混同しないよう注意が必要である。用語の混同を避けるため、RFC 4301 においてはこれら「鍵交換時の挙動を定めるパラメータの一覧」をPeer Authorization Database(PAD)と呼んでいる。

Aggressive Modeはフェーズ1におけるプロポーザル手順の一部を削減し、パラメータの一部を決め打ちとすることでMain Modeにくらべパケット交換回数を減らし（3往復6パケット→1.5往復3パケット）通信効率を向上している。ただしMain Modeでは最後に交換されるIDパケットが暗号化されるのに対し、Agressive ModeではID情報が暗号化されないまま送信されるので、盗聴によるセキュリティホールを招きかねないというリスクもある。フェーズ1にどちらのモードを用いるかはイニシエータに依存し、やはりそのネットワークにおけるポリシー(PAD) によって決定される。

IKEv1では鍵交換と同時に相手ピアの認証を行う。認証アルゴリズムもフェーズ1において提示-合意のプロセスを踏んで実行され、認証方式には事前鍵共有方式(PSK:Pre Shared Key)、デジタル署名方式(Digital Signatures)、公開鍵暗号方式(Public Key Encryption)などがある。

フェーズ2で生成されるIPsec SAの鍵情報は、原則としてフェーズ1で生成された共有鍵情報から生成される。しかし複数個のIPsec SAをまとめて生成するような使用法の場合、全てのIPsec SA情報が1つの秘密情報に依存することは好ましくない場合がある。このような場合、IKEv1ではPerfect Forward Secrecy(PFS)と呼ばれるオプション機能の利用が（通信ピア双方に実装されていれば）可能である。PFSは個々のフェーズ2交換時に新たなOakley鍵交換を行い、個々に異なった共有鍵を生成してIPsec SAの秘密鍵生成時に適用するものである。PFSは一般に通信秘匿性を向上させるがピアの処理負荷も向上させるため、これを適用すべきか否かもポリシー（あるいはPAD）に応じて決定すべきとされている。

なお1回のフェーズ1交換に付随するフェーズ2の回数を1回かぎりに制限することにより、結果的に全てのフェーズ2生成鍵を異なったものにすることでPFSと同等の秘匿性を得る実装もあり、これをMaster PFSと呼ぶこともある。この場合、上記の「狭義のPFS」はSession PFSと呼ばれて区別される。

このようにIKEv1には数多くのモードとパラメータとオプションの組み合わせがあり、さらに多くの拡張仕様が存在する。その中には標準案として提案されたもののドラフトを通過できず、正式なRFCとして記載されずに終わったものも少なくない。またIKEv1仕様には難解で紛らわしい用語が錯綜しているため、実装系において独自の名前を与えている場合もある（例えばMicrosoft WindowsではIPsecにおけるセレクタをフィルタと呼び、ポリシーをアクションと呼んでいる)。このため「IETF標準」であるはずのIKEv1同士でも異機種間接続のためにはプロトコルおよび製品実装の深遠な理解が必要になってしまい、「IPsecでネットワークを組む場合は同じメーカーの同じ機器を使用することが最も確実」という慣習を生むことになってしまった。

IETFは混沌としてしまったIKEv1の整理を諦め、IKEv2をもって標準化の仕切り直しを図っている。

IPsecが使えるシステム

• Windows

Windows2000/XPはIPv4,IPv6で利用可能であるが、IPv6はESP暗号化に対応していない。Windows VistaはIPv4,IPv6で利用可能である。

• Mac OS X

KAME由来のIPsecが利用可能。OS標準のGUIで利用出来るのはL2TP/IPsecのみである。

• BSD

FreeBSD, NetBSDではKAMEで作られた実装が取り込まれており、OpenBSDでは独自に実装を行っている。

• Linux

IPv4, IPv6で利用可能。IKEはKAME由来のipsec-toolsのracoonを利用する。他に FreeS/WANプロジェクトから派生した Openswan と strongSwan がある。

関連する RFC

RFC 1826 (obsoleted by RFC 2402)

IP Authentication Header

RFC 1827 (obsoleted by RFC 2406)

IP Encapsulating Security Payload (ESP)

RFC 2367

PF_KEY Interface

RFC 2401 (obsoleted by RFC 4301)

Security Architecture for the Internet Protocol

RFC 2402 (obsoleted by RFC 4302 and RFC 4305)

Authentication Header

RFC 2403

The Use of HMAC-MD5-96 within ESP and AH

RFC 2404

The Use of HMAC-SHA-1-96 within ESP and AH

RFC 2405

The ESP DES-CBC Cipher Algorithm With Explicit IV

RFC 2406 (obsoleted by RFC 4303 and RFC 4305)

Encapsulating Security Payload

RFC 2407 (obsoleted by RFC 4306)

IPsec Domain of Interpretation for ISAKMP (IPsec DoI)

RFC 2408 (obsoleted by RFC 4306)

Internet Security Association and Key Management Protocol (ISAKMP)

RFC 2409 (obsoleted by RFC 4306)

Internet Key Exchange (IKE)

RFC 2410

The NULL Encryption Algorithm and Its Use With IPsec

RFC 2411

IP Security Document Roadmap

RFC 2412

The OAKLEY Key Determination Protocol

RFC 2451

The ESP CBC-Mode Cipher Algorithms

RFC 2857

The Use of HMAC-RIPEMD-160-96 within ESP and AH

RFC 3526

More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE)

RFC 3706

A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers

RFC 3715

IPsec-Network Address Translation (NAT) Compatibility Requirements

RFC 3947

Negotiation of NAT-Traversal in the IKE

RFC 3948

UDP Encapsulation of IPsec ESP Packets

RFC 4106

The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP)

RFC 4301 (obsoletes RFC 2401)

Security Architecture for the Internet Protocol

RFC 4302 (obsoletes RFC 2402)

IP Authentication Header

RFC 4303 (obsoletes RFC 2406)

IP Encapsulating Security Payload (ESP)

RFC 4304

Extended Sequence Number (ESN) Addendum to IPsec Domain of Interpretation (DOI) for Internet Security Association and Key Management Protocol (ISAKMP)

RFC 4305 (obsoleted by RFC 4835)

Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH)

RFC 4306 (obsoletes RFC 2407, RFC 2408, and RFC 2409)

Internet Key Exchange (IKEv2) Protocol

RFC 4307

Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 (IKEv2)

RFC 4308

Cryptographic Suites for IPsec

RFC 4309

Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload (ESP)

RFC 4478

Repeated Authentication in Internet Key Exchange (IKEv2) Protocol

RFC 4543

The Use of Galois Message Authentication Code (GMAC) in IPsec ESP and AH

RFC 4555

IKEv2 Mobility and Multihoming Protocol (MOBIKE)

RFC 4621

Design of the IKEv2 Mobility and Multihoming (MOBIKE) Protocol

RFC 4718

IKEv2 Clarifications and Implementation Guidelines

RFC 4806

Online Certificate Status Protocol (OCSP) Extensions to IKEv2

RFC 4809

Requirements for an IPsec Certificate Management Profile

RFC 4835 (obsoletes RFC 4305)

Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH)

RFC 4945

The Internet IP Security PKI Profile of IKEv1/ISAKMP, IKEv2, and PKIX

外部リンク

• IETF IPsec wg

この「IPsec」はコンピュータに関連した書きかけ項目です。この記事を加筆して下さる人を求めています（Portal:コンピュータ）。