この記事では、Microsoft L2TP/IPSec 仮想プライベート ネットワーク (VPN) クライアントの既定の暗号化設定について説明します。
適用対象: Windows 10 - すべてのエディション
元の KB 番号: 325158
まとめ
次の一覧には、以前のバージョンのクライアントの Microsoft L2TP/IPSec 仮想プライベート ネットワーク (VPN) クライアントの既定の暗号化設定が含まれています。
- データ暗号化標準
- セキュア ハッシュ アルゴリズム
- Diffie-hellman Medium
- トランスポート モード
- セキュリティ ペイロードのカプセル化
クライアントは、次の設定をサポートしていません。
- トンネルモード
- AH (認証ヘッダー)
これらの値はクライアントでハードコーディングされており、変更することはできません。
データ暗号化標準
Data Encryption Standard (3DES) は機密性を提供します。 3DES は DES の組み合わせの中で最も安全であり、パフォーマンスが少し低下します。 3DES は、各ブロックを毎回一意のキーを使用して 3 回処理します。
セキュア ハッシュ アルゴリズム
セキュリティで保護されたハッシュ アルゴリズム 1 (SHA1) と 160 ビット キーは、データの整合性を提供します。
Diffie-Hellman Medium
Diffie-Hellman グループは、キー交換中に使用される基本素数の長さを決定します。 派生するキーの強さは、素数の基になっている Diffie-Hellman グループの強度に一部依存します。
グループ 2 (中) は、グループ 1 (低) よりも強くなります。 グループ 1 は 768 ビットのキーマテリアルを提供し、グループ 2 は 1,024 ビットを提供します。 各ピアで不一致グループが指定されている場合、ネゴシエーションは成功しません。 ネゴシエーション中にグループを切り替えることはできません。
グループが大きいほどエントロピが高くなるため、中断が困難なキーになります。
輸送のモード
IPSec の操作には、次の 2 つのモードがあります。
- トランスポート モード - トランスポート モードでは、メッセージのペイロードのみが暗号化されます。
- トンネル モード (サポートされていません) - トンネル モードでは、ペイロード、ヘッダー、およびルーティング情報がすべて暗号化されます。
IPSec セキュリティ プロトコル
セキュリティ ペイロードのカプセル化
セキュリティ ペイロード (ESP) をカプセル化すると、機密性、認証、整合性、および再生防止が提供されます。 ESP は、パケットがトンネリングされている場合を除き、通常はパケット全体に署名しません。 通常、データのみが保護され、IP ヘッダーは保護されません。 ESP は IP ヘッダーの整合性を提供しません (アドレス指定)。
認証ヘッダー (サポートされていません)
認証ヘッダー (AH) は、パケット全体 (IP ヘッダーとパケットに含まれるデータの両方) に対して認証、整合性、およびアンチリプレイを提供します。 AH はパケット全体に署名します。 データは暗号化されないため、機密性は提供されません。 データは読み取ることができますが、変更することはできません。 AH は HMAC アルゴリズムを使用してパケットに署名します。