Top

Intego Privacy Protectionの暗号化設定

注意: この記事内のスクリーンショットは英語版の画面ですが、プログラムは日本語化されています。

注意: お使いのIntego Privacy Protectionのバージョンによっては、この記事内の画面とは若干異なる場合があります。

 

ippJPprefs01.png

Intego Privacy Protectionは、安全なVPNトンネルを実現するためにデフォルトでオープンソースかつ業界標準のOpenVPNを採用しています。OpenVPNは、暗号化に多くのオプションが用意されています。お客様は、VPN通信で使用する暗号化のレベルを選択することができます。インストール時の設定は最も平均的な設定にしてありますので、そのまま何も変更しないことをお勧めします。とは言え、ユーザは必要に応じて自由に設定を変更することができます。Intego Privacy Protectionでは、VPNトンネルにWireGuard®を指定することもできます。WireGuard®には、OpenVPNにあるような多様な設定は用意されていません。


推奨暗号化設定
データ暗号化
データ認証
ハンドシェイクの暗号化
警告
用語

 

推奨暗号化設定

デフォルトの推奨設定

データ暗号化: AES-128
ハンドシェイク: RSA-2048

速度優先、保護なし

データ暗号化: None
ハンドシェイク: ECC-256k1

最大保護

データ暗号化: AES-256
ハンドシェイク: RSA-4096

保護が必要なビジネス

データ暗号化: AES-128
ハンドシェイク: RSA-2048

 

 

データ暗号化

これは、すべてのデータが暗号化および複合化される対象暗号アルゴリズムです。対象暗号では、お客様とサーバ間で共有する一時的な秘密鍵を使います。この秘密鍵は、ハンドシェイク暗号化とともに交換されます。

AES-128

CBCモードでのより進んだ暗号化標準仕様(128-bit)です。これが最速の暗号化モードです。

AES-256

CBCモードでのより進んだ暗号化標準仕様(256-bit)です。

なし

暗号化なしです。データはまったく暗号化されません。ログイン情報は暗号化されます。IPもカモフラージュされます。IPアドレスだけをカモフラージュし、可能な限り最速の通信を実現したい場合に有効な設定です。これは、SOCKSプロキシと似ていますが、ユーザ名とパスワードの漏洩を防げます。

 

 

データ認証

これは、すべてのデータが認証されるメッセージ認証アルゴリズムです。この選択肢は、積極的攻撃から保護する目的でのみ使用されます。実際に積極的攻撃の危険がないのであれば、データ認証は無効にしてください。

SHA1

Secure Hash Algorithm(160-bit)を使ったHMAC(秘密鍵とメッセージとハッシュ関数をもとに計算されるメッセージ認証符号の一つ)です。これが最速の認証モードです。

SHA256

Secure Hash Algorithm(256-bit)を使ったHMACです。

なし

認証なしです。暗号化されたデータは認証されません。積極的攻撃者によって、データが改竄されたり複合化される可能性があります。待ち伏せ攻撃者に対しては、攻撃の機会を与えません。

 

 

ハンドシェイク暗号化

これは、セキュア接続を構築して、攻撃者のサーバではなく、間違いなくIntego Privacy Protection VPNサーバと通信していることを検証します。接続の構築には、TLS v1.2を使っています。証明書には、SHA512で署名されています。


RSA-2048

2048bit Ephemeral Diffie-Hellman(DHE)鍵交換とIntego Privacy Protectionサーバと鍵交換が行われていることを検証するために2048-bit RSA証明書を使います。

RSA-3072

RSA-2048と同じですが、鍵交換および証明書は3072-bitです。

RSA-4096

RSA-2048と同じですが、鍵交換および証明書は4096-bitです。

ECC-256k1

Elliptic Curve Diffie-Hellman Ephemeral(ECDHE)鍵交換とIntego Privacy Protectionサーバと鍵交換が行われていることを検証するためにElliptic Curve Digital Signature Algorithm(ECDSA)証明書を使います。どちらにも曲線暗号secp256k1(256-bit)が使われます。これは、Bitcoinが取引の署名に使うのと同じ曲線暗号です。

ECC-256r1

ECC-256k1と同じですが、曲線暗号prime256v1(secp256r1として知られる256-bit)が鍵交換および証明書の両方で使われます。

ECC-521

ECC-256k1と同じですが、曲線暗号secp521r1(521-bit)が鍵交換および証明書の両方で使われます。

 

 

警告

次の3つの場合に警告が表示されます:

  • データ暗号化で 'なし' が選択された時
  • データ認証で 'なし' が選択された時
  • ハンドシェーク暗号化で 'ECC(Elliptic Curve Cryptography = 楕円曲線暗号)' が選択された時


楕円曲線暗号の警告

最近NSAに関して暴露された情報により、米国標準化団体が推奨する一部のあるいはすべての楕円曲線暗号にNSAによる侵入を許すためのバックドアがあるのではないかとの懸念を生じさせています。署名と鍵交換*に使われる曲線暗号にこうしたバックドアがある証拠はなく、あり得ないと考える専門家もいます。ですので、楕円曲線暗号のオプションを提供していますが、その設定が選ばれた場合には念のために警告を表示しています。また、他の曲線暗号のようにNISTが作ったのではなくCertiom(カナダの会社)が作り、Bitcoinが使っていてバックドアが隠されている可能性がより少ないように見受けられる、やや標準的でない曲線暗号secp256k1も用意しています。


* 広く使われた形跡はありませんが、ECCを使うランダム番号生成器がバックドアであった強力な証拠が存在します。

 

 

用語

積極的攻撃

積極的攻撃は、攻撃者がユーザとVPNサーバの「間」のVPNとの通信に対してデータを改竄したり差し込める場所に割り込む攻撃です。OpenVPNは、データ暗号化とデータ認証の両方を使っていることを前提に、積極的攻撃を防ぐように設計されています。


待ち伏せ攻撃

待ち伏せ攻撃は、攻撃者はネットワークを通過するすべてのデータを記録するだけで、データを改竄したり、新たなデータを差し込んだりしません。当局がすべてのネットワーク通信を監視網で捕捉して保管しながら、その通信を阻害したり改変したりはしないやり方が、待ち伏せ攻撃者の一つの例と言えるでしょう。データ暗号化を使う限り、OpenVPN通信は待ち伏せ攻撃に対して安全です。


一時鍵(Ephemeral Keys)

一時鍵は、ランダムに生成され、利用は期間限定のため一定の期間が過ぎると無効化されて消去される暗号鍵です。一時鍵交換は、鍵が生成されて交換される一連の処理を指します。Diffie-Hellmanは、この交換を行う際に使われるアルゴリズムです。一時鍵の考え方は、使用された鍵は破棄されるため、誰かが暗号化されたデータやクライアントおよびサーバにアクセスできたとしても、その鍵を使って暗号化されたデータを複合化することはできないというものです。

 

 

Intego Privacy Protectionのサポート

Support.png

Intego Privacy Protectionについて不明な点などあれば、まずは次のナレッジベースにFAQの記事がないか確認してください。

ナレッジベースを開く

 

ナレッジベースに記事がなければ、ウェブサイトの「サポートに連絡」ページからサポート依頼を送付してお問い合わせください。

今すぐにサポート依頼を作成するには、ここをクリックしてください。

この記事は役に立ちましたか?
2人中1人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

コメント