Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.6.9. 数量コンピューターに対する保護の使用

事前共有鍵で IKEv1 を使用すると、量子攻撃者に対する保護が可能になります。IKEv2 の再設計は、この保護をネイティブに提供しません。Libreswan は、PPK (Postquantum Preshared Keys) を使用して、量子攻撃に対して IKEv2 接続を保護します。
任意の PPK サポートを有効にするには、接続定義に ppk=yes を追加します。PPK が必要な場合は ppk=insist を追加します。次に、各クライアントには、帯域外で通信する (および可能であれば量子攻撃に対して安全な) シークレット値を持つ PPK ID を付与できます。PPK はランダム性において非常に強力で、辞書の単語はベースであってはいけません。PPK ID および PPK データ自体は ipsec.secrets に保存されます。以下に例を示します。
@west @east : PPKS "user1" "thestringismeanttobearandomstr"
PPKS オプションは、静的な PPK を参照します。動的 PPK に基づいたワンタイムパッドを使用する実験的な機能があります。各接続では、ワンタイムパッドの新しい部分が PPK として使用されます。これを使用すると、ファイル内の動的な PPK の部分がゼロで上書きされ、再利用を防ぐことができます。タイムパッドマテリアルが残っていないと、接続は失敗します。詳細は、man ページの ipsec.secrets(5) を参照してください。
警告
動的の PPK の実装はテクノロジープレビューとして提供されており、この機能は注意して使用する必要があります。詳細は、『Red Hat Enterprise Linux 7.5 リリースノート』を参照してください

このページには機械翻訳が使用されている場合があります (詳細はこちら)。