ペイロードを暗号化する「ESP」とは?
ペイロードやESPの概要を見ていきましょう。
通信するデータを暗号化し、情報を付加したもの
ペイロードとは、本来は最大積載量や積載物を意味する英単語です。しかし、ネットワーク分野では送受信されるデータ本体、あるいはデータの長さを指す言葉として用いられます。
厳密には、データのヘッダを除いた部分やその長さを指します。ヘッダとは、データの制御情報のことで、宛先などが該当します。郵便物に例えると、住所や名前を記した送り状がヘッダ、郵送される荷物そのものがペイロードです。
そして、ESPとはペイロード部分を暗号化し、暗号化情報や認証データなどを付与したもののことです。暗号化は共通鍵暗号方式で行われます。
IPSecにおける通信プロトコルの一つ
一般的にインターネットで使われている通信プロトコルをIPといいます。そして、IPSecはIPの通信内容を暗号化するプロトコルです。
IPSecは単一のプロトコルではなく、複数のプロトコルの組み合わせで構成されています。その中でも代表的なのがIKEとESPです。IKEは通信相手と鍵情報を交換するプロトコルです。一方、ESPはパケットの暗号化と認証を担います。
認証ヘッダとの違い:IPヘッダが認証されるか
IPSecを構成するプロトコルの1つに、認証ヘッダ(AH)があります。ESPと同じく、認証機能を担うプロトコルです。ただし、AHではIPヘッダが認証されるのに対し、ESPでは認証されないという違いがあります。
AHではIPヘッダが認証されるため、IPアドレスが変更されるネットワーク構成では使えません。ESPならば、そのような環境でも問題なく利用できます。また、ESPが暗号化機能を持つのに対し、AHはそれを持たないという違いもあります。
ESPで使われるアルゴリズム
ESPにはDESや3DES、AESなどの暗号化アルゴリズムが使われています。それぞれの概要を見ていきましょう。
- DES(Data Encryption Standard)
- 1977年にアメリカ連邦政府標準に採用された共通鍵暗号方式の1つです。64ビットからなる鍵データを用います。コンピュータの性能が向上した現代ではすぐに解読されてしまうため、利用は推奨されていません。
- 3DES(Triple DES)
- DESの安全性を応急的に高める方法として考案されたアルゴリズムです。DESによる処理を2~3回繰り返すことで解読を困難にしています。しかし、処理に時間がかかるのが難点です。
- AES(Advanced Encryption Standard)
- DESに代わるアルゴリズムとして、1999年に米国政府に採用されました。鍵長は128/192/256であり、DESより高い安全性を実現しています。
IPSecにおけるESPの仕組みは?
IPSecの通信モードには、トンネルモードとトランスポートモードがあります。それぞれにおけるESPの仕組みを見ていきましょう。
トンネルモード:内部向けIPヘッダまで暗号化される
トンネルモードとは、IPヘッダも含めてESPで暗号化し、そこに新規のIPアドレスを付与して送信する通信モードです。
手紙の本文と宛先を丸ごと暗号化したものを箱に入れ、その箱に宛先を記入して郵送するようなイメージです。データの転送は、新たに付与されたIPアドレスに基づいて行われます。視覚的に示すと以下のようになります。
- ■「元のヘッダ(IPアドレス)」「ペイロード」→「暗号化されたデータ」→「ESPヘッダ」「暗号化されたデータ」→「新規のIPアドレス」「ESPヘッダ」「暗号化されたデータ」
トランスポートモード:IPヘッダ以降が暗号化される
トランスポートモードとは、ペイロードの部分のみをESPで暗号化する通信モードです。送信は元のヘッダ情報(IPアドレス)に基づいて行われます。手紙の本文だけを暗号化し、郵送は手紙に書かれた宛先に基づいて行うイメージです。視覚的に示すと以下のようになります。
- ■「元のヘッダ」「ペイロード」→「元のヘッダ」「暗号化されたデータ」→「元のヘッダ」「ESPヘッダ」「暗号化されたデータ」
ペイロードを暗号化する「ESP」を知り、理解を深めよう!
ペイロードとは送受信されるデータにおけるヘッダ以外の部分のことです。そして、ESPはペイロードを暗号化し、認証や暗号化情報を付与するプロトコルです。ESPでは以下のアルゴリズムが用いられます。
- ■DES
- ■3DES
- ■AES
また、IPSecにおけるESPの仕組みにはトンネルモードやトランスポートモードがあり、これらの仕組みを混同してしまうことがありますので気を付けましょう。ぜひこの機会に、IPsecをはじめとする暗号化への理解を深め、十分なセキュリティ対策を施しましょう。
