[port139ml:01968] Re: 802.1x(MS-PEAP)

["Kunio Miyamoto" <wakatono@xxxxxxxxxx>]

　みやもとです。

> 個人的な意見ですが、IPsecの相互運用というよりIKEの
> 相互運用って言ったほうが良いように思います。

　半分（もしかすると7割程度？）はそのとおりです。
　でも、IPsec SA で使えない CIPHER があるということも考え
ると（IKEのネゴシエーションではじかれるとは思いますが、ネ
ゴシエーションが通らないのと、IPsec SA レベルで使えないの
とはまた別問題だと思ってます）、必ずしも「IKE の相互運用だ」
と言い切れない部分はあるのではないでしょうか。

　たとえばですが、3DESしか使えない（言語道断ですが）実装と
3DESが使えない実装の間で IKE ネゴシエーションは失敗する
わけですが（ネゴシエーションはするけど、相互に使える CIPHER
がないということで終了し、IPsec による通信は開始できない）、
このような場合は IKE のネゴシエーション成功時に採用できる
共通的なパラメータがないということで、この場合は IKE には
責はなく、IPsec スタックそのものの問題というようになると私は
考えてます。

＃IKEでパラメータ交換が成功すれば、まず通信できるだろうと
＃思ってますが。

　説明する時に「IKEの相互運用」と言っても、10人中9.5人（適当）
くらいには「はぁ？」と言われそうなので、私の場合はここまで踏
み込んでは話をしてないですね。

＃IPsec は知ってても「IKE？何それ？」といわれかねない今日
＃この頃。

> IKEで Preshared Keyを使ってしまえば、相互運用上の
> 問題はあまり無いでしょう。ですが、複数のデバイスや
> システムにたすきがけ状態でPreshared keyの設定を
> するのって大変ですよね？ 

　相互接続性の面ではクリアできますが、規模が大きくなるに
つれて、面倒になるというのはそのとおりです。

　でも、X.509v3 の証明書を使った場合もわりと相互接続性は
高そうかな、というのが感触してはあります。
　可能であればそっち使えれば…とも思いますね。

＃実際、KAME と FreeS/WAN でやった時は面倒でした。

　MS的には Preshared key の使用は接続確認を行う時く
らいにしてね、というくらいのモンですから。

＃今のところ、 IPsec SA そのものを破るためには総当り
＃くらいしかないのではないかな。しかもパケットにゃ
＃CIPHER の手掛かりがないので（DESか3DESかAESか…）

> # IKEを簡単にしようっていうIETFでの議論もあるよう
> ですね。

　Son of IKE の話ですかね。
　IKEの次のものについては、（昨年夏の横浜で行われた）
IETF Meeting でも出てたように思います。

---
宮本 久仁男 ( Kunio Miyamoto )
E-mail: wakatono@xxxxxxxxxx
WebDAV Resources JP:  http://webdav.todo.gr.jp/