■暗号化スイートの見方
暗号化スイートはハイフン区切りで、下記表記となる。
鍵交換方式(Kx) - 鍵認証方式(Au) - メッセージ暗号方式(Enc) - ブロック処理 - メッセージ署名方式(Mac)
尚、KxとAuがともにRSAの場合には、RSAと表記したり、kx/Auが省略されて記載されている場合がある。
また、ブロック処理がCBC方式の場合、これを省略する場合がある。
■ハイフン区切りの各フィールドの説明
【鍵交換方式(Kx)アルゴリズム】
そもそも鍵交換とは、「サーバとクライアントで共通鍵を共有する」動作のことを表す。
共通鍵は、クライアント側でメッセージ暗号方式(Enc)を使用して生成するが、その生成した共通鍵を鍵交換方式(Kx)で指定した方法で暗号化して、サーバに共通鍵を安全に送付する。
つまり、SSLハンドシェイク時、通信内容の暗号化に利用する共通鍵自体を暗号化しているが、
共通鍵自体を暗号化する際に使用する暗号化方式を表す。
RSA・・・RSA鍵交換を意味する
【鍵認証方式(Au)】
クライアントがサーバ認証を行う際、サーバ証明書に付随するデジタル署名を復号化するが、その時に使用される復号化方式。
認証局が署名(=暗号化)した際のアルゴリズムと一致している必要がある。
RSA・・・RSA認証を意味する
【メッセージ暗号方式(Enc)(=暗号符号化アルゴリズム)】
暗号化したい通信データ自体の暗号化方式。
ここで指定した暗号方式を使用してクライアント側で共通鍵を生成する。
生成した共通鍵は、鍵交換方式(Kx)にて暗号化され、サーバに送付される。
AES
DES
3DES
RC4
【メッセージ署名方式(Mac)(=MACダイジェストアルゴリズム)】 ※ハッシュ関数のこと
暗号化した通信データの改ざんチェックに使われるはハッシュ方式。
MAC(Message Authentication Code)の頭文字。
MD5
SHA1
SHA・・・SHA1のエイリアス
SHA256・・・SHA2を使用した中の256bitsを採用したもの
SHA384・・・SHA2を使用した中の384bitsを採用したもの
■BIG-IPの場合の暗号化スートの見方について
BIG-IPの場合、「tmm --clientcipheres DEFAULT」結果を確認すると
「ID、SUITE、BITS、PROT、METHOD、CIPHER、MAC、KEYX」 の順に並んでいる。
MAC・・・メッセージ署名方式
KEYX・・・鍵交換方式
BITSとCIPHER・・・・メッセージ暗号方式