Secure Sockets Layer (SSL) は、秘密鍵暗号方式つまり対称暗号方式を使用して、 メッセージの機密性またはプライバシーをサポートします。 初期ハンドシェーク (メッセージ交換によるネゴシエーション・プロセス) の後、 秘密鍵と暗号スイートが、クライアントとサーバーの間で決定されます。 次に、通信当事者間で、暗号スイートに基づいて秘密鍵を使用して、 それぞれのメッセージの暗号化および暗号化解除が行われます。
秘密鍵暗号方式では、通信当事者の 2 者間で暗号化および暗号化解除に同じ鍵を使用する必要があります。 両方の通話者は、この鍵を保有して秘密に保つ必要があります。 有名な秘密鍵暗号アルゴリズムには、Data Encryption Standard (DES)、トリプル強度 DES (3DES)、 および Rivest Cipher 4 (RC4) があり、 これらはいずれも WebSphere Application Server でサポートされています。 これらのアルゴリズムは、セキュリティーが優れており、暗号化を高速に実行できます。
暗号アルゴリズムを暗号 と呼び、 一方で暗号のセットを暗号スイート と呼びます。 暗号スイートは、認証で使用するセキュリティー・アルゴリズムと鍵サイズ、 鍵一致、暗号化強度、および保全性保護を定義する暗号パラメーターの組み合わせです。
前述の暗号スイートはすべて、 MD5 や SHA-1 のようなハッシュ・アルゴリズムを使用してデータの保全性保護を提供します。 暗号スイート名が _SHA で終わっている場合は、SHA-1 アルゴリズムが使用されていることを示します。 SHA-1 の方が強力なハッシュと見なされるのに対し、MD5 の方がパフォーマンスでは優れています。
SSL_DH_anon_xxx 暗号スイート (例えば、SSL_DH_anon_ で始まる暗号スイートで、 anon は anonymous のことです) は、 この製品のクライアント・サイドでは使用できません。 Java Secure Socket Extension (JSSE) クライアント・トラスト・マネージャーでは匿名の接続をサポートしていないため、 JSSE クライアントはサーバーで常に信頼を確立する必要があります。 ただし、SSL_DH_anon_xxx 暗号スイートはサーバー・サイドでは使用可能で、 別のタイプのクライアントによる接続をサポートします。 その場合のクライアントは、サーバーでの信頼の確立を必要としないこともあります。 これらの暗号スイートは man-in-the-middle 攻撃に対してぜい弱性を持つため、 使用を控えてください。man-in-the-middle 攻撃では、アタッカーは、 攻撃をどちらの当事者にも知られずに 2 つの当事者間の通信を傍受して、通信を変更できる可能性があります。
名前 | 説明 |
---|---|
SSL | Secure Sockets Layer |
RSA |
|
DH |
|
DHE |
|
DSS | デジタル・シグニチャー用のデジタル・シグニチャー・アルゴリズムを使用する Digital Signature Standard。 |
DES |
|
3DES |
|
RC4 |
|
EDE | Triple-DES アルゴリズムで暗号化 - 暗号化解除 - 暗号化を実行 |
CBC |
|
128 | 128 ビットの鍵サイズ |
40 | 40 ビットの鍵サイズ |
EXPORT | エクスポート可能 |
MD5 |
|
SHA |
|
anon | 匿名の接続用 |
NULL | 暗号化なし |
WITH | 暗号アルゴリズムがこのキー・ワードの後で定義される |
詳しくは、 http://www.ietf.org/rfc/rfc2246.txt の Transport Layer Security (TLS) 仕様を参照してください。