サポートされている IKE の暗号

Cloud VPN は、ピア VPN デバイスまたは VPN サービス用の次の暗号および構成パラメータをサポートしています。サポートされている IKE 暗号設定がピア側で使用される限り、Cloud VPN は接続を自動ネゴシエートします。

構成手順については、ピア VPN ゲートウェイの構成をご覧ください。

IKE 暗号の概要

次の IKE 暗号は、Classic VPN と HA VPN でサポートされています。IKEv2 には 2 つのセクションがあります。1 つは関連データによる認証付き暗号(AEAD)を使用する暗号で、もう 1 つは AEAD を使用しない暗号です。

AEAD を使用する IKEv2 暗号

フェーズ 1

暗号の役割 暗号
暗号化と整合性
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
このリストで、最初の数値は ICV パラメータのサイズのバイト(オクテット)数で、2 番目の数値はキー長のビット数です。

一部のドキュメントでは、ICV パラメータ(最初の数値)はバイトの代わりにビットで表されます(8 は 64、12 は 96、16 は 128 になります)。
擬似ランダム関数(PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
多くのデバイスでは、PRF を明示的に設定する必要はありません。
Diffie-Hellman(DH)
  • modp_2048(グループ 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(グループ 5)
  • modp_3072(グループ 15)
  • modp_4096(グループ 16)
  • modp_8192(グループ 18)
  • modp_1024(グループ 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN のプロポーザルでは、これらの鍵交換アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。
フェーズ 1 のライフタイム 36,000 秒(10 時間)

フェーズ 2

暗号の役割 暗号
暗号化と整合性
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
Cloud VPN のプロポーザルでは、これらのアルゴリズムを表示された順序で提示します。 Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。

各アルゴリズムの最初の数は、ICV パラメータのサイズのバイト(オクテット)数で、2 番目の数値はキー長のビット数です。一部のドキュメントでは、ICV パラメータ(最初の数値)はバイトの代わりにビットで表されます(8 は 64、12 は 96、16 は 128 になります)。
PFS アルゴリズム(必須)
  • modp_2048(グループ 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(グループ 5)
  • modp_3072(グループ 15)
  • modp_4096(グループ 16)
  • modp_8192(グループ 18)
  • modp_1024(グループ 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN のプロポーザルでは、これらの鍵交換アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を持つプロポーザルを任意の順序で受け入れます。
Diffie-Hellman(DH) フェーズ 1 を参照 VPN ゲートウェイがフェーズ 2 で DH 設定が必要な場合は、フェーズ 1 と同じ設定を使用します。
フェーズ 2 のライフタイム 10,800 秒(3 時間)

AEAD を使用しない IKEv2 暗号

フェーズ 1

暗号の役割 暗号
暗号化
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
Cloud VPN のプロポーザルでは、これらの対称暗号化アルゴリズムを表示された順序で提示されます。Cloud VPN は、これらのアルゴリズム 1 つ以上を使用するプロポーザルを任意の順序で受け入れます。
整合性
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
Cloud VPN のプロポーザルでは、これらの HMAC アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上持つプロポーザルを任意の順序で受け入れます。

オンプレミス VPN ゲートウェイのドキュメントでは、アルゴリズムの名前が若干異なる場合があります。たとえば、HMAC-SHA2-512-256 は、切り捨てた長さの数値やその他余分な情報を除いて、単に SHA2-512 または SHA-512 と呼ばれる場合があります。
擬似ランダム関数(PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
多くのデバイスでは、PRF を明示的に設定する必要はありません。
Diffie-Hellman(DH)
  • modp_2048(グループ 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(グループ 5)
  • modp_3072(グループ 15)
  • modp_4096(グループ 16)
  • modp_8192(グループ 18)
  • modp_1024(グループ 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN のプロポーザルでは、これらの鍵交換アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。
フェーズ 1 のライフタイム 36,000 秒(10 時間)

フェーズ 2

暗号の役割 暗号
暗号化
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
Cloud VPN のプロポーザルでは、これらの対称暗号化アルゴリズムが表示された順序で提示されます。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。
整合性
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
Cloud VPN のプロポーザルは、これらの HMAC アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。

オンプレミス VPN ゲートウェイのドキュメントでは、アルゴリズムの名前が若干異なる場合があります。たとえば、HMAC-SHA2-512-256 は、切り捨てた長さの数値やその他余分な情報を除いて、単に SHA2-512 または SHA-512 と呼ばれる場合があります。
PFS アルゴリズム(必須)
  • modp_2048(グループ 14)
  • modp_2048_224(modp_2048s224)
  • modp_2048_256(modp_2048s256)
  • modp_1536(グループ 5)
  • modp_3072(グループ 15)
  • modp_4096(グループ 16)
  • modp_8192(グループ 18)
  • modp_1024(グループ 2)
  • modp_1024_160(modp_1024s160)
Cloud VPN のプロポーザルでは、これらの鍵交換アルゴリズムを表示された順序で提示します。Cloud VPN は、これらのアルゴリズム 1 つ以上を含むプロポーザルを任意の順序で受け入れます。
Diffie-Hellman(DH) フェーズ 1 を参照。 VPN ゲートウェイがフェーズ 2 で DH 設定が必要な場合は、フェーズ 1 と同じ設定を使用します。
フェーズ 2 のライフタイム 10,800 秒(3 時間)

IKEv1 暗号

フェーズ 1

暗号の役割 暗号
暗号化 AES-CBC-128
整合性 HMAC-SHA1-96
擬似ランダム関数(PRF) PRF-SHA1-96
Diffie-Hellman(DH) modp_1024(グループ 2)
フェーズ 1 のライフタイム 36,600 秒(10 時間 10 分)

フェーズ 2

暗号の役割 暗号
暗号化 AES-CBC-128
整合性 HMAC-SHA1-96
PFS アルゴリズム(必須) modp_1024(グループ 2)
Diffie-Hellman(DH) VPN ゲートウェイの DH を指定する場合は、フェーズ 1 と同じ設定を使用します。
フェーズ 2 のライフタイム 10,800 秒(3 時間)

次のステップ