[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:01968] Re: 802.1x(MS-PEAP)
- To: <port139ml@xxxxxxxxxxxxx>
- Subject: [port139ml:01968] Re: 802.1x(MS-PEAP)
- From: "Kunio Miyamoto" <wakatono@xxxxxxxxxx>
- Date: Sun, 19 Jan 2003 16:07:16 +0900
みやもとです。
> 個人的な意見ですが、IPsecの相互運用というよりIKEの
> 相互運用って言ったほうが良いように思います。
半分(もしかすると7割程度?)はそのとおりです。
でも、IPsec SA で使えない CIPHER があるということも考え
ると(IKEのネゴシエーションではじかれるとは思いますが、ネ
ゴシエーションが通らないのと、IPsec SA レベルで使えないの
とはまた別問題だと思ってます)、必ずしも「IKE の相互運用だ」
と言い切れない部分はあるのではないでしょうか。
たとえばですが、3DESしか使えない(言語道断ですが)実装と
3DESが使えない実装の間で IKE ネゴシエーションは失敗する
わけですが(ネゴシエーションはするけど、相互に使える CIPHER
がないということで終了し、IPsec による通信は開始できない)、
このような場合は IKE のネゴシエーション成功時に採用できる
共通的なパラメータがないということで、この場合は IKE には
責はなく、IPsec スタックそのものの問題というようになると私は
考えてます。
#IKEでパラメータ交換が成功すれば、まず通信できるだろうと
#思ってますが。
説明する時に「IKEの相互運用」と言っても、10人中9.5人(適当)
くらいには「はぁ?」と言われそうなので、私の場合はここまで踏
み込んでは話をしてないですね。
#IPsec は知ってても「IKE?何それ?」といわれかねない今日
#この頃。
> IKEで Preshared Keyを使ってしまえば、相互運用上の
> 問題はあまり無いでしょう。ですが、複数のデバイスや
> システムにたすきがけ状態でPreshared keyの設定を
> するのって大変ですよね?
相互接続性の面ではクリアできますが、規模が大きくなるに
つれて、面倒になるというのはそのとおりです。
でも、X.509v3 の証明書を使った場合もわりと相互接続性は
高そうかな、というのが感触してはあります。
可能であればそっち使えれば…とも思いますね。
#実際、KAME と FreeS/WAN でやった時は面倒でした。
MS的には Preshared key の使用は接続確認を行う時く
らいにしてね、というくらいのモンですから。
#今のところ、 IPsec SA そのものを破るためには総当り
#くらいしかないのではないかな。しかもパケットにゃ
#CIPHER の手掛かりがないので(DESか3DESかAESか…)
> # IKEを簡単にしようっていうIETFでの議論もあるよう
> ですね。
Son of IKE の話ですかね。
IKEの次のものについては、(昨年夏の横浜で行われた)
IETF Meeting でも出てたように思います。
---
宮本 久仁男 ( Kunio Miyamoto )
E-mail: wakatono@xxxxxxxxxx
WebDAV Resources JP: http://webdav.todo.gr.jp/