方式に関するネゴシエーション
属性 属性値 暗号化アルゴリズム DES、3DES 整合性アルゴリズム MD5、SHA-1 認証方式 Kerberos、仮共有キー、証明書 Diffie-Hellman グループ グループ 1 (768 ビット)、グループ 2 (1,024 ビット)
-
- 2 Diffie-Hellman 交換
共通鍵の生成
Diffie-Hellmanという方法は、通信相手同士がお互いに乱数を送り合うと、結果として双方が同じ暗号鍵を生成・共有でき、なおかつ通信経路の盗聴者には、この乱数が分かっても暗号鍵が生成不能という、面白い仕組みを持ったものだ。
-
- 認証
証明書だと署名検証。共有キーだと公開情報+共有キーのハッシュを検証
- Phase2(クイックモード)ネゴシエーション
ESP、AHの使用はここでネゴ。
フィルタ操作でセッション キーの PFS (Perfect Forward Secrecy) が有効化されている場合、クイック モード メッセージ 1 および 2 には、さらに、クイック モード セッション キーを得るための Diffie-Hellman キー交換を実行する Key Exchange ペイロードが含まれます。
http://www.microsoft.com/japan/technet/community/columns/cableguy/cg0602.mspx
