HOME»ネットワークスペシャリスト掲示板»令和6年午後1問3設問1(2)
投稿する
»[0492] 令和5年午後1問2設問4(2)Webブラウザ方式の利点 投稿数:5
»[0491] 令和4年度春 午後Ⅱ問① クライアント証明書の検証 投稿数:7
令和6年午後1問3設問1(2) [0494]
初学者さん(No.1)
本社のUTMと支社のUTMのペアではIPsecで暗号化するために同じ鍵を共有している。
↑①について、本社のUTMと支社のUTMのペアで共有する鍵をなんと呼ぶか答えよ。
公式解答:事前共有鍵
事前共有鍵は文字列であり要はパスワードだと理解しています。
IPsecにおいて事前共有鍵はエンティティ認証のために利用され、暗号化するためではないと思うのですが、認識が違うのでしょうか。ご教授いただけると幸いです。
↑①について、本社のUTMと支社のUTMのペアで共有する鍵をなんと呼ぶか答えよ。
公式解答:事前共有鍵
事前共有鍵は文字列であり要はパスワードだと理解しています。
IPsecにおいて事前共有鍵はエンティティ認証のために利用され、暗号化するためではないと思うのですが、認識が違うのでしょうか。ご教授いただけると幸いです。
2025.02.14 16:09
初挑戦さん(No.2)
(私も初学者です。横から失礼します m(__)m)
RFC4301には、以下のように「IPsecの暗号化キー管理は手動・自動どちらもサポートする必要がある」と記載されているので、手動で事前共有鍵をそのまま暗号化に使用することもできると思います。
しかし同様に、RFC6071ではIKEv1, v2ともに事前共有鍵での認証が可能であると記載されているため、IKEでの認証に事前共有鍵を使い、交換された"共有鍵"で暗号化するというケースもあり得ます。そのため、"共有鍵"という回答でも正解なのではないかと思いました。
また、IKEv2のRFCに「事前共有鍵はランダム性を担保するのが難しい」といった記載もあり、適切なのはIKEを利用した自動的な鍵管理だと思うので、どちらかというと"共通鍵"という回答がより適切な気もします。
RFC4301には、以下のように「IPsecの暗号化キー管理は手動・自動どちらもサポートする必要がある」と記載されているので、手動で事前共有鍵をそのまま暗号化に使用することもできると思います。
> All IPsec implementations MUST support both manual and automated SA and cryptographic key management. (RFC4301 4.5 SA and Key Managementより)
しかし同様に、RFC6071ではIKEv1, v2ともに事前共有鍵での認証が可能であると記載されているため、IKEでの認証に事前共有鍵を使い、交換された"共有鍵"で暗号化するというケースもあり得ます。そのため、"共有鍵"という回答でも正解なのではないかと思いました。
また、IKEv2のRFCに「事前共有鍵はランダム性を担保するのが難しい」といった記載もあり、適切なのはIKEを利用した自動的な鍵管理だと思うので、どちらかというと"共通鍵"という回答がより適切な気もします。
2025.02.14 18:04
初学者さん(No.3)
ご回答ありがとうございます。
2025.02.16 07:35
samzee0930さん(No.4)
乱文で失礼します。
時系列的には、事前共有鍵(PSK) ※が最初に設定され、IPsec の通信を確立する際の認証に使用されます。したがって、特段の条件が提示されていない場合、問題に対する適切な回答は 「事前共有鍵(PSK)」 となるように思います。
※パスワード的なものです。
事前共有鍵(PSK)を使いながら、IPsec の通信を確立するときに、共有鍵が交換されることになり、その共有鍵は直接的には暗号化に用いられます。
、、、、、、
かなりざっくりの流れ
①まずは、事前共有鍵(PSK)を設定し、IPSECの諸々の手続き開始。つまりは、事前に共有されたパスワード的なのを設定しておく。
②次に、暗号化通信のために、共通鍵を交換したりとかする。
③暗号化通信の開始
問題の文脈としては、多少曖昧な問い方ではあるものの、時系列的により早いタイミングのことを言われていると解釈します。ネットワークスペシャリスト試験では、より直接的な内容を答えさせたり、時系列的により早いタイミングを答えさせたりする傾向があるというようなことが、ネスペシリーズを執筆している左門さんの本に書いてありました。
時系列的には、事前共有鍵(PSK) ※が最初に設定され、IPsec の通信を確立する際の認証に使用されます。したがって、特段の条件が提示されていない場合、問題に対する適切な回答は 「事前共有鍵(PSK)」 となるように思います。
※パスワード的なものです。
事前共有鍵(PSK)を使いながら、IPsec の通信を確立するときに、共有鍵が交換されることになり、その共有鍵は直接的には暗号化に用いられます。
、、、、、、
かなりざっくりの流れ
①まずは、事前共有鍵(PSK)を設定し、IPSECの諸々の手続き開始。つまりは、事前に共有されたパスワード的なのを設定しておく。
②次に、暗号化通信のために、共通鍵を交換したりとかする。
③暗号化通信の開始
問題の文脈としては、多少曖昧な問い方ではあるものの、時系列的により早いタイミングのことを言われていると解釈します。ネットワークスペシャリスト試験では、より直接的な内容を答えさせたり、時系列的により早いタイミングを答えさせたりする傾向があるというようなことが、ネスペシリーズを執筆している左門さんの本に書いてありました。
2025.02.16 09:46
初学者さん(No.5)
ご回答ありがとうございます。
問題分を繰り返し読んでいると、「IPsecの手続きを始める前から元々共有している鍵」という書き方が見えてきました。
再度勉強していると、IPsecにおいて実際にデータを暗号化する共通鍵はIKEのやり取りで生成され、IPsec SA が作り直される度に異なる共通鍵が生成されることがわかりました。
暗号化に必要でペアで持っているもの、という問に対しては事前共有鍵が適切だと思います。
初挑戦さん、samzee0930さん、返信ありがとうございました。非常に勉強になりました。
問題分を繰り返し読んでいると、「IPsecの手続きを始める前から元々共有している鍵」という書き方が見えてきました。
再度勉強していると、IPsecにおいて実際にデータを暗号化する共通鍵はIKEのやり取りで生成され、IPsec SA が作り直される度に異なる共通鍵が生成されることがわかりました。
暗号化に必要でペアで持っているもの、という問に対しては事前共有鍵が適切だと思います。
初挑戦さん、samzee0930さん、返信ありがとうございました。非常に勉強になりました。
2025.02.18 08:42
その他のスレッド
»[0493] 令和5年午後2問1 設問3(1) 投稿数:4»[0492] 令和5年午後1問2設問4(2)Webブラウザ方式の利点 投稿数:5
»[0491] 令和4年度春 午後Ⅱ問① クライアント証明書の検証 投稿数:7