Internet Engineering Task Force (IETF) V. Smyslov
Request for Comments: 9838 ELVIS-PLUS
Obsoletes: 6407 B. Weis
Category: Standards Track Independent
ISSN: 2070-1721 November 2025
This document presents an extension to the Internet Key Exchange Protocol Version 2 (IKEv2) for the purpose of group key management. The protocol is in conformance with the Multicast Security (MSEC) Group Key Management architecture, which contains two components: member registration and group rekeying. Both components are required for a Group Controller/Key Server (GCKS) to provide authorized Group Members (GMs) with IPsec Group Security Associations (GSAs). The GMs then exchange IP multicast or other group traffic as IPsec packets.
この文書では、グループ キー管理を目的としたインターネット キー交換プロトコル バージョン 2 (IKEv2) の拡張機能について説明します。このプロトコルは、マルチキャスト セキュリティ (MSEC) グループ キー管理アーキテクチャに準拠しており、メンバー登録とグループのキー再生成という 2 つのコンポーネントが含まれています。どちらのコンポーネントも、グループ コントローラー/キー サーバー (GCKS) が許可されたグループ メンバー (GM) に IPsec グループ セキュリティ アソシエーション (GSA) を提供するために必要です。次に、GM は IP マルチキャストまたは他のグループ トラフィックを IPsec パケットとして交換します。
This document obsoletes RFC 6407.
この文書は RFC 6407 を廃止します。
This is an Internet Standards Track document.
これはインターネット標準化トラックの文書です。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
このドキュメントは Internet Engineering Task Force (IETF) の成果物です。これは IETF コミュニティのコンセンサスを表しています。この文書は公開レビューを受け、Internet Engineering Steering Group (IESG) によって公開が承認されています。インターネット標準の詳細については、RFC 7841 のセクション 2 を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9838.
この文書の現在のステータス、正誤表、およびそれに対するフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc9838 で入手できます。
Copyright (c) 2025 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright (c) 2025 IETF Trust および文書の著者として特定された人物。無断転載を禁じます。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
この文書は、BCP 78 およびこの文書の発行日に有効な IETF 文書に関する IETF トラストの法的規定 (https://trustee.ietf.org/license-info) の対象となります。これらの文書には、この文書に関するお客様の権利と制限が記載されているため、注意深くお読みください。このドキュメントから抽出されたコード コンポーネントには、トラスト法的規定のセクション 4.e に記載されている改訂 BSD ライセンス テキストが含まれている必要があり、改訂 BSD ライセンスに記載されているように保証なしで提供されます。
1. Introduction and Overview
1.1. Requirements Notation
1.2. Terminology
2. G-IKEv2 Protocol
2.1. G-IKEv2 Integration into the IKEv2 Protocol
2.1.1. G-IKEv2 Transport and Port
2.2. G-IKEv2 Payloads
2.3. G-IKEv2 Member Registration and Secure Channel
Establishment
2.3.1. GSA_AUTH Exchange
2.3.2. GSA_REGISTRATION Exchange
2.3.3. GM Registration Operations
2.3.4. GCKS Registration Operations
2.4. Group Maintenance Channel
2.4.1. GSA_REKEY
2.4.2. GSA_INBAND_REKEY Exchange
2.4.3. Deletion of SAs
2.5. Counter-Based Modes of Operation
2.5.1. Allocation of Sender-ID
2.5.2. GM Usage of Sender-ID
2.6. Replay Protection for Multicast Data-Security SAs
2.7. Encryption Transforms with Implicit IV
3. Group Key Management and Access Control
3.1. Key Wrap Keys
3.1.1. Default Key Wrap Key
3.2. GCKS Key Management Semantics
3.2.1. Forward Access Control Requirements
3.3. GM Key Management Semantics
3.4. SA Keys
4. Header and Payload Formats
4.1. G-IKEv2 Header
4.2. Group Identification Payload
4.3. Security Association - GM Supported Transforms Payload
4.4. Group Security Association Payload
4.4.1. Group Policies
4.4.2. Group Security Association Policy Substructure
4.4.3. Group-Wide Policy Substructure
4.5. Key Download Payload
4.5.1. Key Bags
4.5.2. Group Key Bag Substructure
4.5.3. Member Key Bag Substructure
4.5.4. Key Wrapping
4.6. Delete Payload
4.7. Notify Payload
4.7.1. INVALID_GROUP_ID Notification
4.7.2. AUTHORIZATION_FAILED Notification
4.7.3. REGISTRATION_FAILED Notification
4.7.4. GROUP_SENDER Notification
4.8. Authentication Payload
5. Using G-IKEv2 Attributes
6. Interaction with IKEv2 and ESP Extensions
6.1. Implicit IV for Counter-Based Ciphers in ESP
6.2. Mixing Preshared Keys in IKEv2 for Post-Quantum Security
6.3. Aggregation and Fragmentation Mode for ESP
7. GDOI Protocol Extensions
8. Security Considerations
8.1. GSA Registration and Secure Channel
8.2. GSA Maintenance Channel
8.2.1. Authentication/Authorization
8.2.2. Confidentiality
8.2.3. On-Path Attack Protection
8.2.4. Replay/Reflection Attack Protection
9. IANA Considerations
9.1. New Registries
9.1.1. Guidance for Designated Experts
9.2. Changes in the Existing IKEv2 Registries
10. References
10.1. Normative References
10.2. Informative References
Appendix A. Use of LKH in G-IKEv2
A.1. Notation
A.2. Group Creation
A.3. Simple Group SA Rekey
A.4. Group Member Exclusion
Acknowledgements
Contributors
Authors' Addresses
This document presents an extension to IKEv2 [RFC7296] called G-IKEv2, which accommodates group key management. A group key management protocol provides IPsec keys and policy to a set of IPsec devices that are authorized to communicate using a Group Security Association (GSA) defined in Multicast Group Security Architecture [RFC3740]. The data communications within the group (e.g., IP multicast packets) are protected by a key pushed to the Group Members (GMs) by the Group Controller/Key Server (GCKS).
この文書は、グループ鍵管理に対応する G-IKEv2 と呼ばれる IKEv2 [RFC7296] の拡張機能を紹介します。グループ キー管理プロトコルは、マルチキャスト グループ セキュリティ アーキテクチャ [RFC3740] で定義されているグループ セキュリティ アソシエーション (GSA) を使用して通信することが許可されている一連の IPsec デバイスに IPsec キーとポリシーを提供します。グループ内のデータ通信 (IP マルチキャスト パケットなど) は、グループ コントローラー/キー サーバー (GCKS) によってグループ メンバー (GM) にプッシュされたキーによって保護されます。
G-IKEv2 conforms to "The Multicast Group Security Architecture" [RFC3740], "Multicast Extensions to the Security Architecture for the Internet Protocol" [RFC5374], and "Multicast Security (MSEC) Group Key Management Architecture" [RFC4046]. G-IKEv2 replaces "The Group Domain of Interpretation" [RFC6407], which defines a similar group key management protocol using IKEv1 [RFC2409] (since deprecated by IKEv2). When G-IKEv2 is used, group key management use cases can benefit from the simplicity, increased robustness, and cryptographic improvements of IKEv2 (see Appendix A of [RFC7296]).
G-IKEv2 は、「The Multicast Group Security Architecture」[RFC3740]、「Multicast Extensions to the Security Architecture for the Internet Protocol」[RFC5374]、および「Multicast Security (MSEC) Group Key Management Architecture」[RFC4046] に準拠しています。G-IKEv2 は、IKEv1 [RFC2409] (IKEv2 で非推奨になったため) を使用した同様のグループ鍵管理プロトコルを定義する「解釈のグループ ドメイン」[RFC6407] に代わるものです。G-IKEv2 を使用すると、グループ鍵管理のユースケースは、IKEv2 の簡素化、堅牢性の向上、および暗号化の改善の恩恵を受けることができます ([RFC7296] の付録 A を参照)。
G-IKEv2 is composed of two phases: registration and rekeying. In the registration phase, a GM contacts a GCKS to register to a group and to receive the necessary policy and the keying material to be able communicate with the other GMs in the group as well as with the GCKS. The rekeying phase allows the GCKS to periodically renew the keying material for both GM-to-GM communications as well as for communication between the GM and the GCKS.
G-IKEv2 は、登録とキー再生成の 2 つのフェーズで構成されます。登録フェーズでは、GM は GCKS に連絡してグループに登録し、グループ内の他の GM および GCKS と通信できるようにするために必要なポリシーとキーマテリアルを受け取ります。キー再生成フェーズにより、GCKS は GM 間の通信と GM と GCKS の間の通信の両方のキー生成マテリアルを定期的に更新できます。
G-IKEv2 defines two ways to perform registration. When a GM first contacts a GCKS, it uses the GSA_AUTH exchange (Section 2.3.1) to register to a group. This exchange happens after the IKE_SA_INIT exchange (similarly to the IKE_AUTH exchange in IKEv2) and results in establishing an IKE Security Association (SA) between the GM and the GCKS. During this exchange, the GCKS authenticates and authorizes the GM and then pushes policy and keys used by the group to the GM. The second new exchange type is the GSA_REGISTRATION exchange (Section 2.3.2), which can be used by the GM within the already-established IKE SA with the GCKS (e.g., for registering to another group).
G-IKEv2 では、登録を実行する 2 つの方法が定義されています。GM が最初に GCKS に接続すると、GSA_AUTH 交換 (セクション 2.3.1) を使用してグループに登録します。この交換は、IKE_SA_INIT 交換 (IKEv2 の IKE_AUTH 交換と同様) の後に行われ、その結果、GM と GCKS の間に IKE セキュリティー・アソシエーション (SA) が確立されます。この交換中に、GCKS は GM を認証および認可し、グループが使用するポリシーとキーを GM にプッシュします。2 番目の新しい交換タイプは GSA_REGISTRATION 交換 (セクション 2.3.2) で、GCKS を使用してすでに確立されている IKE SA 内で GM が使用できます (たとえば、別のグループに登録するため)。
Refreshing the group keys can be performed either in a unicast mode via the GSA_INBAND_REKEY exchange (Section 2.4.2) performed over a specific IKE SA between a GM and a GCKS or in a multicast mode with the GSA_REKEY pseudo-exchange (Section 2.4.1) when new keys are being distributed to all GMs.
グループ鍵のリフレッシュは、GM と GCKS 間の特定の IKE SA 上で実行される GSA_INBAND_REKEY 交換 (セクション 2.4.2) を介したユニキャスト モードで、または新しい鍵がすべての GM に配布されるときに GSA_REKEY 擬似交換 (セクション 2.4.1) を使用したマルチキャスト モードで実行できます。
Large and small groups may use different sets of these mechanisms. When a large group of devices are communicating, the GCKS is likely to use the GSA_REKEY message for efficiency. This is shown in Figure 1, where multicast communications are indicated with a double line.
大規模なグループと小規模なグループでは、これらのメカニズムの異なるセットを使用する場合があります。大規模なデバイス グループが通信している場合、GCKS は効率を高めるために GSA_REKEY メッセージを使用する可能性があります。これは図 1 に示されており、マルチキャスト通信は二重線で示されています。
Note: For clarity, IKE_SA_INIT is omitted from Figures 1 and 2.
注: わかりやすくするために、IKE_SA_INIT は図 1 および 2 から省略されています。
+--------+
+----IKEv2---->| GCKS |<----IKEv2----+
| +--------+ |
| || ^ |
| || | |
| || GSA_AUTH |
| || or |
| || GSA_REGISTRATION |
| || | |
GSA_AUTH || IKEv2 GSA_AUTH
or || | or
GSA_REGISTRATION GSA_REKEY | GSA_REGISTRATION
| || | |
| *==========**================* |
| || || | || |
v \/ \/ v \/ v
+-------+ +--------+ +-------+
| GM | ... | GM | ... | GM |
+-------+ +--------+ +-------+
|| || ||
*=====ESP/AH=====**=====ESP/AH====*
Figure 1: G-IKEv2 Used in Large Groups
図 1: 大規模なグループで使用される G-IKEv2
Alternatively, a small group may simply use the GSA_AUTH or GSA_REGISTRATION as registration protocols, where the GCKS issues rekeys using the GSA_INBAND_REKEY within the same IKE SA.
あるいは、小規模なグループは、単に GSA_AUTH または GSA_REGISTRATION を登録プロトコルとして使用することもできます。その場合、GCKS は同じ IKE SA 内の GSA_INBAND_REKEY を使用してキー再発行を発行します。
GSA_AUTH or GSA_REGISTRATION, GSA_INBAND_REKEY
+--------------------IKEv2----------------------+
| |
| GSA_AUTH or GSA_REGISTRATION, |
| GSA_INBAND_REKEY |
| +-----------IKEv2-------------+ |
| | | |
| |GSA_AUTH or GSA_REGISTRATION,| |
| | GSA_INBAND_REKEY | |
| | +--IKEv2-+ | |
v v v v v v
+---------+ +----+ +----+ +----+
| GCKS/GM | | GM | | GM | | GM |
+---------+ +----+ +----+ +----+
|| || || ||
*==ESP/AH==**=====ESP/AH====**===ESP/AH===*
Figure 2: G-IKEv2 Used in Small Groups
図 2: 小規模グループで使用される G-IKEv2
A combination of these approaches is also possible. For example, the GCKS may use more robust GSA_INBAND_REKEY to provide keys for some GMs (for example, those acting as senders in the group) and GSA_REKEY for the rest.
これらのアプローチを組み合わせることも可能です。たとえば、GCKS は、より堅牢な GSA_INBAND_REKEY を使用して一部の GM (たとえば、グループ内で送信者として機能する GM) にキーを提供し、残りの GM には GSA_REKEY を提供する場合があります。
Note: GCKS may also be a GM (as shown in Figure 2).
注: GCKS は GM である場合もあります (図 2 を参照)。
IKEv2 message semantics are preserved in that all communications consist of message request-response pairs. The exception to this rule is the GSA_REKEY pseudo-exchange, which is a single message delivering group updates to the GMs.
IKEv2 メッセージのセマンティクスは、すべての通信がメッセージの要求と応答のペアで構成されるという点で維持されます。このルールの例外は GSA_REKEY 擬似交換です。これは、グループの更新を GM に配信する単一のメッセージです。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
このドキュメント内のキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」、「MAY」、および「OPTIONAL」は、ここに示すようにすべて大文字で表示されている場合にのみ、BCP 14 [RFC2119] [RFC8174] で説明されているように解釈されます。
It is assumed that readers are familiar with the IPsec architecture [RFC4301] and its extension for multicast [RFC5374]. This document defines an extension to the IKEv2 protocol [RFC7296] and skips many of its details. The notation and conventions from [RFC7296] are used for describing G-IKEv2 payloads and exchanges.
読者は、IPsec アーキテクチャ [RFC4301] とそのマルチキャスト拡張 [RFC5374] に精通していることを前提としています。この文書は、IKEv2 プロトコル [RFC7296] の拡張を定義し、その詳細の多くを省略します。[RFC7296] の表記法と規則は、G-IKEv2 ペイロードと交換を記述するために使用されます。
The following key terms are used throughout this document (mostly borrowed from [RFC3740], [RFC5374], and [RFC6407]).
この文書全体で以下の重要な用語が使用されます (ほとんどは [RFC3740]、[RFC5374]、および [RFC6407] から借用したものです)。
Group:
グループ:
A set of IPsec devices that communicate to each other using multicast.
マルチキャストを使用して相互に通信する一連の IPsec デバイス。
Group Member (GM):
グループメンバー (GM):
An IPsec device that belongs to a group. A GM is authorized to be a group sender and/or a group receiver.
グループに属する IPsec デバイス。GM は、グループ送信者および/またはグループ受信者になることが許可されています。
Group Receiver:
グループ受信者:
A GM that is authorized to receive packets sent to a group by a group sender.
グループ送信者によってグループに送信されたパケットを受信する権限を与えられた GM。
Group Sender:
グループ送信者:
A GM that is authorized to send packets to a group.
グループにパケットを送信する権限を与えられた GM。
Group Key Management (GKM) Protocol:
グループキー管理 (GKM) プロトコル:
A key management protocol used by a GCKS to distribute IPsec Security Association policy and keying material. A GKM protocol is needed because a group of IPsec devices require the same SAs. For example, when an IPsec SA describes an IP multicast destination, the sender and all receivers need to have the group SA.
IPsec セキュリティ アソシエーション ポリシーとキーマテリアルを配布するために GCKS によって使用されるキー管理プロトコル。IPsec デバイスのグループは同じ SA を必要とするため、GKM プロトコルが必要です。たとえば、IPsec SA が IP マルチキャスト宛先を記述する場合、送信者とすべての受信者はグループ SA を持っている必要があります。
Group Controller/Key Server (GCKS):
グループ コントローラー/キー サーバー (GCKS):
A Group Key Management (GKM) protocol server that manages IPsec state for a group. A GCKS authenticates and provides the IPsec SA policy and keying material to GMs.
グループの IPsec 状態を管理するグループ キー管理 (GKM) プロトコル サーバー。GCKS は認証を行い、IPsec SA ポリシーとキーマテリアルを GM に提供します。
Data-Security SA:
データセキュリティ SA:
A multicast SA between each multicast sender and the group's receivers. The Data-Security SA protects data between member senders and member receivers. One or more SAs are required for the multicast transmission of data messages from the group sender to other GMs. This specification relies on Encapsulating Security Payload (ESP) and Authentication Header (AH) as protocols for Data-Security SAs.
各マルチキャスト送信者とグループの受信者間のマルチキャスト SA。Data-Security SA は、メンバーの送信者とメンバーの受信者間のデータを保護します。グループ送信者から他の GM へのデータ メッセージのマルチキャスト送信には、1 つ以上の SA が必要です。この仕様は、データ セキュリティ SA のプロトコルとしてカプセル化セキュリティ ペイロード (ESP) と認証ヘッダー (AH) に依存しています。
Rekey SA:
SA の再キー化:
A single multicast SA between the GCKS and all of the GMs. This SA is used for multicast transmission of key management messages from the GCKS to all GMs.
GCKS とすべての GM 間の単一のマルチキャスト SA。この SA は、GCKS からすべての GM への鍵管理メッセージのマルチキャスト送信に使用されます。
Group SA:
グループ SA:
A Data-Security SA or Rekey SA that is shared as part of group policy.
グループ ポリシーの一部として共有される Data-Security SA または Rekey SA。
Group Security Association (GSA):
グループ セキュリティ アソシエーション (GSA):
A collection of Data-Security SAs and Rekey SAs necessary for a GM to receive key updates. A GSA describes the working policy for a group. Refer to the MSEC Group Key Management Architecture [RFC4046] for additional information.
GM がキー更新を受信するために必要な Data-Security SA と Rekey SA のコレクション。GSA は、グループの作業ポリシーを記述します。詳細については、MSEC グループ鍵管理アーキテクチャ [RFC4046] を参照してください。
Traffic Encryption Key (TEK):
トラフィック暗号化キー (TEK):
The symmetric cipher key used in a Data-Security SA (e.g., IPsec ESP) to protect traffic.
トラフィックを保護するためにデータ セキュリティ SA (IPsec ESP など) で使用される対称暗号キー。
Key Encryption Key (KEK):
キー暗号化キー (KEK):
The symmetric key (or a set of keys) used in a Rekey SA to protect its messages. The set of keys may include keys for encryption and authentication, as well as keys for key wrapping.
Rekey SA でメッセージを保護するために使用される対称キー (またはキーのセット)。キーのセットには、暗号化と認証用のキーだけでなく、キー ラッピング用のキーも含まれる場合があります。
Key Wrap Key (KWK):
キーラップキー (KWK):
The symmetric cipher key used to protect another key.
別のキーを保護するために使用される対称暗号キー。
Group-Wide (GW) policy:
グループ全体 (GW) ポリシー:
Group policy not related to a particular SA.
特定の SA に関連しないグループ ポリシー。
Activation Time Delay (ATD):
アクティベーション時間遅延 (ATD):
Defines how long group senders should wait after receiving new SAs before sending traffic over them.
グループ送信者が新しい SA を受信した後、その SA 経由でトラフィックを送信するまで待機する必要がある時間を定義します。
Deactivation Time Delay (DTD):
非アクティブ化時間遅延 (DTD):
Defines how long GMs should wait after receiving a request to delete Data-Security SAs before actually deleting them.
データ セキュリティ SA の削除リクエストを受信した後、GM が実際に削除するまで待機する時間を定義します。
Sender-ID:
送信者ID:
A unique identifier of a group sender in the context of an active GSA used to form the Initialization Vector (IV) in counter-based cipher modes.
カウンタベースの暗号モードで初期化ベクトル (IV) を形成するために使用される、アクティブな GSA のコンテキストにおけるグループ送信者の一意の識別子。
Logical Key Hierarchy (LKH):
論理キー階層 (LKH):
A group management method defined in Section 5.4 of [RFC2627].
[RFC2627] のセクション 5.4 で定義されているグループ管理方法。
G-IKEv2 is an extension to the IKEv2 protocol [RFC7296] that provides group authorization, secure policy, and keys download from the GCKS to GMs.
G-IKEv2 は、IKEv2 プロトコル [RFC7296] の拡張機能であり、グループ認可、安全なポリシー、および GCKS から GM へのキーのダウンロードを提供します。
G-IKEv2 is compatible with most IKEv2 extensions defined so far (see Section 6 for details). In particular, it is assumed that, if necessary, the IKE_INTERMEDIATE exchanges [RFC9242] may be utilized while establishing the registration SA. It is also believed that future IKEv2 extensions will be possible to use with G-IKEv2. However, some IKEv2 extensions may require special handling when used with G-IKEv2.
G-IKEv2 は、これまでに定義されたほとんどの IKEv2 拡張機能と互換性があります (詳細についてはセクション 6 を参照)。特に、必要に応じて、登録 SA を確立する際に IKE_INTERMEDIATE 交換 [RFC9242] を利用できることが想定されます。また、将来の IKEv2 拡張機能は G-IKEv2 で使用できるようになると考えられています。ただし、一部の IKEv2 拡張機能は、G-IKEv2 で使用する場合に特別な処理が必要になる場合があります。
As an IKEv2 extension, G-IKEv2 SHOULD use the IKEv2 ports (500, 4500). G-IKEv2 MAY use TCP transport for the IKE SA used for registration (which is unicast), as defined in TCP Encapsulation of IKEv2 and IPsec [RFC9329]. G-IKEv2 MAY also use UDP port 848, the same as Group Domain of Interpretation (GDOI) [RFC6407], because they serve a similar function. The version number in the IKE header distinguishes the G-IKEv2 protocol from the GDOI protocol [RFC6407].
IKEv2 拡張として、G-IKEv2 は IKEv2 ポート (500、4500) を使用すべきです (SHOULD)。G-IKEv2 は、IKEv2 および IPsec の TCP カプセル化 [RFC9329] で定義されているように、登録に使用される IKE SA (ユニキャスト) に TCP トランスポートを使用してもよい(MAY)。G-IKEv2 は、同様の機能を果たすため、GDOI (Group Domain of Interpretation) [RFC6407] と同じ UDP ポート 848 を使用してもよい(MAY)。IKE ヘッダーのバージョン番号により、G-IKEv2 プロトコルと GDOI プロトコル [RFC6407] が区別されます。
Section 2.23 of [RFC7296] describes how IKEv2 supports paths with NATs. The G-IKEv2 registration SA doesn't create any unicast IPsec SAs; thus, if a NAT is present between the GM and the GCKS, there is no unicast ESP traffic to encapsulate in UDP. However, the actions described in this section regarding the IKE SA MUST be honored. The behavior of GMs and GCKS MUST NOT depend on the port used to create the initial IKE SA. For example, if the GM and the GCKS used UDP port 848 for the IKE_SA_INIT exchange, they will operate the same as if they had used UDP port 500.
[RFC7296] のセクション 2.23 では、IKEv2 が NAT を使用したパスをサポートする方法について説明しています。G-IKEv2 登録 SA はユニキャスト IPsec SA を作成しません。したがって、GM と GCKS の間に NAT が存在する場合、UDP にカプセル化するユニキャスト ESP トラフィックは存在しません。ただし、IKE SA に関してこのセクションで説明されているアクションは尊重されなければなりません。GM と GCKS の動作は、最初の IKE SA の作成に使用されたポートに依存してはなりません (MUST NOT)。たとえば、GM と GCKS が IKE_SA_INIT 交換に UDP ポート 848 を使用した場合、それらは UDP ポート 500 を使用した場合と同じように動作します。
In the following descriptions, the payloads contained in the G-IKEv2 messages are indicated by names as listed below.
以下の説明では、G-IKEv2メッセージに含まれるペイロードを以下の名称で示します。
+==========+=============================+=============+
| Notation | Payload | Defined in |
+==========+=============================+=============+
| AUTH | Authentication | [RFC7296] |
+----------+-----------------------------+-------------+
| CERT | Certificate | [RFC7296] |
+----------+-----------------------------+-------------+
| CERTREQ | Certificate Request | [RFC7296] |
+----------+-----------------------------+-------------+
| D | Delete | [RFC7296] |
+----------+-----------------------------+-------------+
| GSA | Group Security Association | Section 4.4 |
+----------+-----------------------------+-------------+
| HDR | IKE header (not a payload) | [RFC7296] |
+----------+-----------------------------+-------------+
| IDg | Group Identification | Section 4.2 |
+----------+-----------------------------+-------------+
| IDi | Identification - Initiator | [RFC7296] |
+----------+-----------------------------+-------------+
| IDr | Identification - Responder | [RFC7296] |
+----------+-----------------------------+-------------+
| KD | Key Download | Section 4.5 |
+----------+-----------------------------+-------------+
| KE | Key Exchange | [RFC7296] |
+----------+-----------------------------+-------------+
| Ni, Nr | Nonce | [RFC7296] |
+----------+-----------------------------+-------------+
| N | Notify | [RFC7296] |
+----------+-----------------------------+-------------+
| SA | Security Association | [RFC7296] |
+----------+-----------------------------+-------------+
| SAg | Security Association - GM | Section 4.3 |
| | Supported Transforms | |
+----------+-----------------------------+-------------+
| SK | Encrypted and Authenticated | [RFC7296] |
| | (also known as Encrypted) | |
+----------+-----------------------------+-------------+
Table 1: Payloads Used in G-IKEv2
表 1: G-IKEv2 で使用されるペイロード
Payloads defined as part of other IKEv2 extensions MAY also be included in these messages. Payloads that may optionally appear in G-IKEv2 messages will be shown in brackets, such as [CERTREQ].
他の IKEv2 拡張機能の一部として定義されたペイロードも、これらのメッセージに含めることができます (MAY)。G-IKEv2 メッセージにオプションで表示されるペイロードは、[CERTREQ] のように括弧内に表示されます。
G-IKEv2 defines several new payloads not used in IKEv2:
G-IKEv2 は、IKEv2 では使用されないいくつかの新しいペイロードを定義します。
Group Identification (IDg):
グループ識別 (IDg):
The GM requests the GCKS for membership into the group by sending its IDg payload.
GM は、IDg ペイロードを送信することで、GCKS にグループへのメンバーシップを要求します。
Security Association - GM Supported Transforms (SAg):
セキュリティ アソシエーション - GM サポート変換 (SAg):
The GM optionally sends supported transforms so that GCKS may select a policy appropriate for all members of the group (which is not negotiated, unlike SA parameters in IKEv2).
GM はオプションで、サポートされている変換を送信して、GCKS がグループのすべてのメンバーに適切なポリシーを選択できるようにします (IKEv2 の SA パラメーターとは異なり、ネゴシエートされません)。
Group Security Association (GSA):
グループ セキュリティ アソシエーション (GSA):
The GCKS sends the group policy to the GM using this payload.
GCKS は、このペイロードを使用してグループ ポリシーを GM に送信します。
Key Download (KD):
キーダウンロード (KD):
The GCKS sends the keys and the security parameters to the GMs using this payload.
GCKS は、このペイロードを使用してキーとセキュリティ パラメーターを GM に送信します。
The details of the contents of each payload are described in Section 4.
各ペイロードの内容の詳細についてはセクション 4 で説明します。
Initial registration is combined with establishing a secure connection between the entity seeking registration and the GCKS. This process consists of a minimum of two exchanges, IKE_SA_INIT and GSA_AUTH; member registration may have a few more messages exchanged if the Extensible Authentication Protocol (EAP) method, cookie challenge (for DoS protection), negotiation of key exchange method, or IKEv2 extensions based on the IKEv2 Intermediate Exchange [RFC9242] are used. Each exchange consists of request/response pairs. The first exchange, called IKE_SA_INIT, is defined in IKEv2 [RFC7296]. This exchange negotiates cryptographic algorithms, exchanges nonces, and computes a shared key between the GM and the GCKS. In addition to the cryptographic algorithms negotiated for use in IKEv2 SA, a key wrap algorithm is also negotiated in this exchange by means of a new "Key Wrap Algorithm" transform. See Section 4.5.4 for details.
初期登録は、登録を求めるエンティティと GCKS の間の安全な接続の確立と組み合わされます。このプロセスは、IKE_SA_INIT と GSA_AUTH という少なくとも 2 つの交換で構成されます。Extensible Authentication Protocol (EAP) 方式、Cookie チャレンジ (DoS 保護用)、鍵交換方式のネゴシエーション、または IKEv2 Intermediate Exchange [RFC9242] に基づく IKEv2 拡張機能が使用されている場合、メンバー登録ではさらにいくつかのメッセージが交換される可能性があります。各交換はリクエスト/レスポンスのペアで構成されます。最初の交換は IKE_SA_INIT と呼ばれ、IKEv2 [RFC7296] で定義されています。この交換では、暗号化アルゴリズムをネゴシエートし、ナンスを交換し、GM と GCKS の間で共有キーを計算します。IKEv2 SA で使用するためにネゴシエートされる暗号アルゴリズムに加えて、この交換では新しい「キー ラップ アルゴリズム」変換を使用してキー ラップ アルゴリズムもネゴシエートされます。詳細については、セクション 4.5.4 を参照してください。
The second exchange, called GSA_AUTH, is similar to the IKEv2 IKE_AUTH exchange [RFC7296]. It authenticates the previously exchanged messages and exchanges identities and certificates. The GSA_AUTH messages are encrypted and integrity protected with keys established through the previous exchanges, so the identities are hidden from eavesdroppers and all fields in all the messages are authenticated. The GCKS authorizes GMs to be allowed into the group as part of the GSA_AUTH exchange. Once the GCKS accepts a GM to join a group, it will provide the GM with the data-security keys (TEKs) and/or a group key encrypting key (KEK) as part of the GSA_AUTH response message.
2 番目の交換は GSA_AUTH と呼ばれ、IKEv2 IKE_AUTH 交換 [RFC7296] に似ています。以前に交換されたメッセージを認証し、ID と証明書を交換します。GSA_AUTH メッセージは暗号化され、以前の交換で確立されたキーで整合性が保護されるため、ID は盗聴者から隠され、すべてのメッセージのすべてのフィールドが認証されます。GCKS は、GSA_AUTH 交換の一部として GM がグループに入るのを許可します。GCKS は、GM のグループへの参加を受け入れると、GSA_AUTH 応答メッセージの一部としてデータ セキュリティ キー (TEK) および/またはグループ キー暗号化キー (KEK) を GM に提供します。
The established secure channel between the GM and the GCKS is in fact IKE SA (as defined in [RFC7296]) and is referred to as such throughout this document. However, it is NOT RECOMMENDED to use this IKE SA for the purpose of creating unicast Child SAs between the GM and the GCKS since authentication requirements for group admission and for unicast communication may differ. In addition, the life cycle of this IKE SA is determined by the GCKS and this SA can be deleted at any time.
GM と GCKS の間に確立された安全なチャネルは、実際には IKE SA ([RFC7296] で定義されている) であり、この文書全体でそのように呼ばれます。ただし、グループ アドミッションとユニキャスト通信の認証要件が異なる可能性があるため、GM と GCKS の間でユニキャスト子 SA を作成する目的でこの IKE SA を使用することは推奨されません。さらに、この IKE SA のライフ サイクルは GCKS によって決定され、この SA はいつでも削除できます。
The GSA_AUTH exchange is used to authenticate the previous exchanges and exchange identities and certificates. G-IKEv2 also uses this exchange for GM registration and authorization.
GSA_AUTH 交換は、以前の交換を認証し、ID と証明書を交換するために使用されます。G-IKEv2 は、GM の登録と認可にもこの交換を使用します。
The GSA_AUTH exchange is similar to the IKE_AUTH exchange with the difference that its goal is to establish a multicast Data-Security SA(s) and optionally provide GM with the keys for a Rekey SA. The set of payloads in the GSA_AUTH exchange is slightly different because policy is not negotiated between the GM and the GCKS; instead, it is provided by the GCKS for the GM. Also note that GSA_AUTH has its own exchange type, which is different from the IKE_AUTH exchange type.
GSA_AUTH 交換は IKE_AUTH 交換に似ていますが、目的がマルチキャスト データ セキュリティ SA を確立し、オプションで GM にキー再生成 SA のキーを提供することである点が異なります。GM と GCKS の間でポリシーがネゴシエートされないため、GSA_AUTH 交換のペイロードのセットは若干異なります。代わりに、GCKS によって GM に提供されます。また、GSA_AUTH には、IKE_AUTH 交換タイプとは異なる独自の交換タイプがあることに注意してください。
Note: Due to the similarities between IKE_AUTH and GSA_AUTH, most IKEv2 extensions to the IKE_AUTH exchange (like secure password authentication [RFC6467]) can also be used with the GSA_AUTH exchange.
注: IKE_AUTH と GSA_AUTH は類似しているため、IKE_AUTH 交換に対するほとんどの IKEv2 拡張機能 (安全なパスワード認証 [RFC6467] など) は GSA_AUTH 交換でも使用できます。
Initiator (GM) Responder (GCKS)
-------------------- ------------------
HDR, SK{IDi, [CERT,] [CERTREQ,] [IDr,]
AUTH, IDg, [SAg,] [N(GROUP_SENDER),] [N]} -->
Figure 3: GSA_AUTH Request
図 3: GSA_AUTH リクエスト
A GM initiates a GSA_AUTH request to join a group indicated by the IDg payload. The GM may include an SAg payload declaring which Transforms it is willing to accept. A GM that intends to act as group sender MUST include a Notify payload status type of GROUP_SENDER, which enables the GCKS to provide any additional policy necessary by group senders.
GM は、IDg ペイロードによって示されるグループに参加するために GSA_AUTH リクエストを開始します。GM には、どの Transform を受け入れるかを宣言する SAg ペイロードが含まれる場合があります。グループ送信者として機能する予定の GM は、GROUP_SENDER の通知ペイロード ステータス タイプを含めなければなりません。これにより、GCKS はグループ送信者に必要な追加ポリシーを提供できるようになります。
Initiator (GM) Responder (GCKS)
-------------------- ------------------
<-- HDR, SK{IDr, [CERT,]
AUTH, GSA, KD, [N]}
Figure 4: GSA_AUTH Normal Response
図 4: GSA_AUTH の通常の応答
The GCKS responds with IDr, optional CERT, and AUTH payloads with the same meaning as in IKE_AUTH. It also informs the GM of the cryptographic policies of the group in the GSA payload and the key material in the KD payload.
GCKS は、IDr、オプションの CERT、および IKE_AUTH と同じ意味を持つ AUTH ペイロードで応答します。また、GSA ペイロード内のグループの暗号化ポリシーと KD ペイロード内の鍵マテリアルを GM に通知します。
Possible errors should be handled in accordance with Section 2.21.2 of [RFC7296]. In addition to the IKEv2 error handling, the GCKS can reject the registration request when the IDg is invalid or authorization fails, etc. In these cases (see Section 4.7), the GSA_AUTH response will not include the GSA and KD but will include a Notify payload indicating errors. If a GM included an SAg payload and the GCKS chooses to evaluate it and detects that the GM cannot support the security policy defined for the group, then the GCKS returns the NO_PROPOSAL_CHOSEN notification. Other types of error notifications can be INVALID_GROUP_ID, AUTHORIZATION_FAILED, or REGISTRATION_FAILED.
考えられるエラーは、[RFC7296] のセクション 2.21.2 に従って処理される必要があります。IKEv2 エラー処理に加えて、GCKS は IDg が無効な場合や認証が失敗した場合などに登録リクエストを拒否できます。このような場合 (セクション 4.7 を参照)、GSA_AUTH 応答には GSA と KD は含まれませんが、エラーを示す Notify ペイロードが含まれます。GM に SAg ペイロードが含まれており、GCKS がそれを評価することを選択し、GM がグループに定義されたセキュリティ ポリシーをサポートできないことを検出した場合、GCKS は NO_PROPOSAL_CHOSEN 通知を返します。他のタイプのエラー通知には、INVALID_GROUP_ID、AUTHORIZATION_FAILED、または REGISTRATION_FAILED があります。
Initiator (GM) Responder (GCKS)
-------------------- ------------------
<-- HDR, SK{IDr, [CERT,] AUTH, N}
Figure 5: GSA_AUTH Error Response for Group-Related Errors
図 5: グループ関連エラーに対する GSA_AUTH エラー応答
If the GSA_AUTH exchange is completed successfully but the GM finds that the policy sent by the GCKS is unacceptable, the member SHOULD inform the GCKS about this by initiating the GSA_REGISTRATION exchange with the IDg payload and the NO_PROPOSAL_CHOSEN notification (see Figure 8).
GSA_AUTH 交換は正常に完了したが、GCKS によって送信されたポリシーが受け入れられないことを GM が発見した場合、メンバーは、IDg ペイロードと NO_PROPOSAL_CHOSEN 通知を使用して GSA_REGISTRATION 交換を開始することにより、このことを GCKS に通知する必要があります (図 8 を参照)。
Once the IKE SA between the GM and the GCKS is established, the GM can use it for other registration requests if needed. In this scenario, the GM will use the GSA_REGISTRATION exchange. Payloads in the exchange are generated and processed as defined in Section 2.3.1.
GM と GCKS の間で IKE SA が確立されると、GM は必要に応じてそれを他の登録要求に使用できます。このシナリオでは、GM は GSA_REGISTRATION 交換を使用します。交換内のペイロードは、セクション 2.3.1 で定義されているように生成および処理されます。
Initiator (GM) Responder (GCKS)
-------------------- ------------------
HDR, SK{IDg, [SAg,]
[N(GROUP_SENDER),] [N]} -->
<-- HDR, SK{GSA, KD, [N]}
Figure 6: GSA_REGISTRATION Normal Exchange
図 6: GSA_REGISTRATION の通常の交換
As with GSA_AUTH exchange, the GCKS can reject the registration request when the IDg is invalid or authorization fails, or GM cannot support the security policy defined for the group (which can be concluded by the GCKS by evaluation of the SAg payload). In this case, the GCKS returns an appropriate error notification as described in Section 2.3.1.
GSA_AUTH 交換と同様に、IDg が無効であるか認証が失敗した場合、または GM がグループに定義されたセキュリティ ポリシー (SAg ペイロードの評価によって GCKS によって結論付けられる) をサポートできない場合、GCKS は登録要求を拒否できます。この場合、GCKS はセクション 2.3.1 で説明されているように適切なエラー通知を返します。
Initiator (GM) Responder (GCKS)
-------------------- ------------------
HDR, SK{IDg, [SAg,]
[N(GROUP_SENDER),] [N]} -->
<-- HDR, SK{N}
Figure 7: GSA_REGISTRATION Error Exchange
図 7: GSA_REGISTRATION エラー交換
This exchange can also be used if the GM finds that the policy sent by the GCKS is unacceptable or wants to leave the group for some reason. The GM SHOULD notify the GCKS by sending IDg and the Notify type NO_PROPOSAL_CHOSEN or REGISTRATION_FAILED as shown below. In this case, the GCKS MUST remove the GM from the group denoted in IDg.
この交換は、GM が GCKS によって送信されたポリシーが受け入れられないと判断した場合、または何らかの理由でグループから脱退したい場合にも使用できます。GM は、以下に示すように IDg と通知タイプ NO_PROPOSAL_CHOSEN または REGISTRATION_FAILED を送信することで GCKS に通知すべきです (SHOULD)。この場合、GCKS は IDg で示されるグループから GM を削除しなければなりません (MUST)。
Initiator (GM) Responder (GCKS)
-------------------- ------------------
HDR, SK{IDg, N} -->
<-- HDR, SK{}
Figure 8: GM Reporting Errors in GSA_REGISTRATION Exchange
図 8: GSA_REGISTRATION Exchange でエラーを報告する GM
A GM requesting registration contacts the GCKS using the IKE_SA_INIT exchange. This exchange is unchanged from IKE_SA_INIT in the IKEv2 protocol. The IKE_SA_INIT exchange may optionally be followed by one or more of the IKE_INTERMEDIATE exchanges if the GM and the GCKS negotiated use of IKEv2 extensions based on this exchange.
登録を要求する GM は、IKE_SA_INIT 交換を使用して GCKS に接続します。この交換は、IKEv2 プロトコルの IKE_SA_INIT から変更されていません。GM と GCKS がこの交換に基づいて IKEv2 拡張の使用をネゴシエートした場合、IKE_SA_INIT 交換の後に 1 つ以上の IKE_INTERMEDIATE 交換がオプションで続く場合があります。
Next, the GM sends the GSA_AUTH request message with the IKEv2 payloads from IKE_AUTH (without the SAi2, TSi, and TSr payloads) along with the Group ID informing the GCKS of the group the GM wishes to join. A GM intending to emit data traffic MUST send a GROUP_SENDER notification. The GROUP_SENDER notification not only signifies that it is a sender but provides the GM the ability to request Sender-ID values in case the Data-Security SA supports a counter-mode cipher. Section 2.5.1 includes guidance on requesting Sender-ID values.
次に、GM は、IKE_AUTH からの IKEv2 ペイロード (SAi2、TSi、および TSr ペイロードなし) とグループ ID を含む GSA_AUTH 要求メッセージを送信し、GM が参加したいグループを GCKS に通知します。データトラフィックを送信しようとする GM は、GROUP_SENDER 通知を送信しなければなりません。GROUP_SENDER 通知は、自分が送信者であることを示すだけでなく、データ セキュリティ SA がカウンター モード暗号をサポートしている場合に、GM に Sender-ID 値を要求できるようにします。セクション 2.5.1 には、Sender-ID 値の要求に関するガイダンスが含まれています。
A GM may be limited in the Transforms IDs that it is able or willing to use and may find it useful to inform the GCKS which Transform IDs it is willing to accept for different security protocols by including the SAg payload into the request message. Proposals for Rekey SA and for Data-Security (AH [RFC4302] and/or ESP [RFC4303]) SAs may be included into SAg. Proposals for Rekey SA are identified by a new Security Protocol Identifier GIKE_UPDATE with the value 6. Each Proposal contains a list of Transforms that the GM is able and willing to support for that protocol. Valid Transform Types depend on the protocol (AH, ESP, GIKE_UPDATE) and are defined in Table 2. Other Transform Types SHOULD NOT be included as they will be ignored by the GCKS. The Security Parameter Index (SPI) length of each Proposal in an SAg is set to zero, and thus the SPI field is empty. The GCKS MUST NOT use SPI length and SPI fields in the SAg payload.
GM は、使用できる、または使用しようとしている Transform ID が制限されている可能性があり、リクエスト メッセージに SAg ペイロードを含めることによって、さまざまなセキュリティ プロトコルに対してどの Transform ID を受け入れてもよいかを GCKS に通知すると便利な場合があります。Rekey SA およびデータセキュリティ (AH [RFC4302] および/または ESP [RFC4303]) SA の提案は、SAg に含めることができます。Rekey SA のプロポーザルは、値 6 を持つ新しいセキュリティ プロトコル識別子 GIKE_UPDATE によって識別されます。各プロポーザルには、GM がそのプロトコルに対してサポートでき、サポートする意思のある変換のリストが含まれています。有効な変換タイプはプロトコル (AH、ESP、GIKE_UPDATE) に依存し、表 2 で定義されています。他の変換タイプは GCKS によって無視されるため含めるべきではありません (SHOULD NOT)。SAg 内の各プロポーザルのセキュリティ パラメータ インデックス (SPI) 長はゼロに設定されているため、SPI フィールドは空です。GCKS は、SAg ペイロードで SPI 長さと SPI フィールドを使用してはなりません (MUST NOT)。
Generally, a single Proposal for each protocol (GIKE_UPDATE, AH/ESP) will suffice. Because the transforms are not negotiated, the GM simply alerts the GCKS to restrictions it may have. In particular, the restriction from Section 3.3 of [RFC7296] that Authenticated Encryption with Associated Data (AEAD) and non-AEAD transforms not be combined in a single proposal doesn't hold when the SAg payload is being formed. However, if the GM has restrictions on the combination of algorithms, this can be expressed by sending several proposals.
通常、プロトコル (GIKE_UPDATE、AH/ESP) ごとに 1 つのプロポーザルで十分です。変換はネゴシエートされないため、GM は単に GCKS に制限があることを警告するだけです。特に、[RFC7296] のセクション 3.3 による、Authenticated Encryption with Associated Data (AEAD) 変換と非 AEAD 変換を 1 つの提案に組み合わせてはいけないという制限は、SAg ペイロードの形成時には適用されません。ただし、GM がアルゴリズムの組み合わせに制限がある場合は、いくつかの提案を送信することでこれを表現できます。
The Proposal Num field in the Proposal substructure is treated specially in the SAg payload: it allows a GM to indicate that algorithms used in Rekey SA and in Data-Security (AH and/or ESP) SAs are dependent. In particular, Proposals for different protocols having the same value in the Proposal Num field are treated as a set so that if GCKS uses transforms from one of such Proposal for one protocol, then it MUST only use transforms from one of the Proposals with the same value in the Proposal Num field for other protocols. For example, a GM may support algorithms X and Y for both Rekey and Data-Security SAs, but with a restriction that if X is used in Rekey SAs, then only X can be used in Data-Security SAs, and the same for Y. Use of the same value in the Proposal Num field of different proposals indicates that the GM expects these proposals to be used in conjunction with each other. In the simplest case when no dependency between transforms exists, all Proposals in the SAg payload will have the same value in the Proposal Num field.
Proposal サブ構造の Proposal Num フィールドは、SAg ペイロード内で特別に扱われます。これにより、GM は、Rekey SA およびデータ セキュリティ (AH および/または ESP) SA で使用されるアルゴリズムが依存していることを示すことができます。特に、Proposal Num フィールドに同じ値を持つ異なるプロトコルのプロポーザルはセットとして扱われるため、GCKS があるプロトコルに対してそのようなプロポーザルの 1 つからの変換を使用する場合、他のプロトコルに対しては Proposal Num フィールドに同じ値を持つプロポーザルの 1 つからの変換のみを使用しなければなりません (MUST)。たとえば、GM は Rekey SA とデータ セキュリティ SA の両方でアルゴリズム X と Y をサポートできますが、X が Rekey SA で使用される場合、データ セキュリティ SA では X のみが使用でき、Y でも同様であるという制限があります。異なるプロポーザルの Proposal Num フィールドで同じ値を使用することは、GM がこれらのプロポーザルが相互に組み合わせて使用されることを期待していることを示します。変換間に依存関係が存在しない最も単純なケースでは、SAg ペイロード内のすべてのプロポーザルの [プロポーザル番号] フィールドの値は同じになります。
Although the SAg payload is optional, it is RECOMMENDED that the GM include this payload into the GSA_AUTH request to allow the GCKS to select an appropriate policy.
SAg ペイロードはオプションですが、GCKS が適切なポリシーを選択できるように、GM がこのペイロードを GSA_AUTH リクエストに含めることが推奨されます。
A GM MAY also indicate the support for IPcomp by including one or more the IPCOMP_SUPPORTED notifications along with the SAg payload in the request. The Compression Parameter Index (CPI) in these notifications is set to zero and MUST be ignored by the GCKS.
GM は、リクエストに SAg ペイロードとともに 1 つ以上の IPCOMP_SUPPORTED 通知を含めることで、IPcomp のサポートを示すこともできます (MAY)。これらの通知の圧縮パラメータ インデックス (CPI) はゼロに設定されており、GCKS によって無視されなければなりません (MUST)。
Upon receiving the GSA_AUTH response, the GM parses the response from the GCKS authenticating the exchange using the IKEv2 method, then processes the GSA and KD payloads.
GSA_AUTH 応答を受信すると、GM は IKEv2 メソッドを使用して交換を認証する GCKS からの応答を解析し、GSA および KD ペイロードを処理します。
The GSA payload contains the security policy and cryptographic protocols used by the group. This policy describes zero or more Data-Security SAs (TEK), zero or one Rekey SA (KEK), and zero or one GW policy (although at least one TEK or KEK policy MUST be Present). If the policy in the GSA payload is not acceptable to the GM, it SHOULD notify the GCKS by initiating a GSA_REGISTRATION exchange with a NO_PROPOSAL_CHOSEN Notify payload (see Section 2.3.2). Note that this should normally not happen if the GM includes the SAg payload in the GSA_AUTH request and the GCKS takes it into account. Finally, the KD payload is parsed, providing the keying material for the TEK and/or KEK. The KD payload contains a list of key bags, where each key bag includes the keying material for SAs distributed in the GSA payload. Keying material is matched by comparing the SPIs in the key bags to SPIs previously included in the GSA payloads. Once TEK keys and policy are matched, the GM provides them to the data-security subsystem, and it is ready to send or receive packets matching the TEK policy.
GSA ペイロードには、グループで使用されるセキュリティ ポリシーと暗号化プロトコルが含まれています。このポリシーでは、0 個以上の Data-Security SA (TEK)、0 個または 1 個の Rekey SA (KEK)、および 0 個または 1 個の GW ポリシーについて説明します (ただし、少なくとも 1 つの TEK または KEK ポリシーが存在する必要があります)。GSA ペイロード内のポリシーが GM に受け入れられない場合、NO_PROPOSAL_CHOSEN Notify ペイロードとの GSA_REGISTRATION 交換を開始することで GCKS に通知すべきです (セクション 2.3.2 を参照)。GM が GSA_AUTH リクエストに SAg ペイロードを含め、GCKS がそれを考慮する場合、通常、これは起こらないはずであることに注意してください。最後に、KD ペイロードが解析され、TEK および/または KEK の鍵マテリアルが提供されます。KD ペイロードにはキー バッグのリストが含まれており、各キー バッグには GSA ペイロードで配布される SA の鍵マテリアルが含まれています。キー マテリアルは、キー バッグ内の SPI を、以前に GSA ペイロードに含まれていた SPI と比較することによって照合されます。TEK キーとポリシーが一致すると、GM はそれらをデータ セキュリティ サブシステムに提供し、TEK ポリシーに一致するパケットを送受信できるようになります。
If the GM is not a sender for a received Data-Security SA, then it MUST install this SA only in the inbound direction. If the GM is a sender for a received Data-Security SA, and it is not going to receive back the data it sends, then it MUST install this SA only in the outgoing direction.
GM が受信したデータセキュリティ SA の送信者ではない場合、この SA を受信方向にのみインストールしなければなりません (MUST)。GM が受信したデータセキュリティ SA の送信者であり、送信したデータを受信しない場合は、この SA を発信方向にのみインストールしなければなりません (MUST)。
If the first Message ID the GM should expect to receive is non-zero, the GSA KEK policy includes the attribute GSA_INITIAL_MESSAGE_ID with the expected non-zero value. The value of the attribute MUST be checked by a GM against any previously received Message ID for this group. If it is less than the previously received number, it should be considered stale and MUST be ignored. This could happen if two GSA_AUTH exchanges happened in parallel and the Message ID changed. This attribute is used by the GM to prevent GSA_REKEY message replay attacks. The first GSA_REKEY message that the GM receives from the GCKS will have a Message ID greater than or equal to the Message ID received in the GSA_INITIAL_MESSAGE_ID attribute.
GM が受信すると予想される最初のメッセージ ID がゼロ以外の場合、GSA KEK ポリシーには、予想されるゼロ以外の値を持つ属性 GSA_INITIAL_MESSAGE_ID が含まれます。属性の値は、このグループに対して以前に受信したメッセージ ID と照合して GM によってチェックされなければなりません (MUST)。以前に受信した数値よりも小さい場合は、古いものとみなされ、無視されなければなりません(MUST)。これは、2 つの GSA_AUTH 交換が並行して発生し、メッセージ ID が変更された場合に発生する可能性があります。この属性は、GSA_REKEY メッセージ リプレイ攻撃を防ぐために GM によって使用されます。GM が GCKS から受信する最初の GSA_REKEY メッセージには、GSA_INITIAL_MESSAGE_ID 属性で受信したメッセージ ID 以上のメッセージ ID が含まれます。
GMs MUST install the Rekey SA only in the inbound direction.
GM は、Rekey SA を受信方向にのみインストールしなければなりません。
Once a GM successfully registers to the group, it MUST replace any information related to this group (policy, keys) that it might have as a result of a previous registration with a new one.
GM がグループへの登録に成功したら、以前の登録の結果として保持している可能性があるこのグループに関連する情報 (ポリシー、キー) を新しいものに置き換えなければなりません (MUST)。
Once a GM has received the GIKE_UPDATE policy during a registration, the IKE SA MAY be closed. By convention, the GCKS closes the IKE SA; the GM SHOULD NOT close it. The GCKS MAY choose to keep the IKE SA open for inband rekey, especially for small groups. If inband rekey is used, then the initial IKE SA can be rekeyed by any side with the standard IKEv2 mechanism described in Section 1.3.2 of [RFC7296]. If for some reason the IKE SA is closed and no GIKE_UPDATE policy is received during the registration process, the GM MUST consider itself excluded from the group. To continue participating in the group, the GM needs to re-register.
登録中に GM が GIKE_UPDATE ポリシーを受信すると、IKE SA を閉じることができます (MAY)。慣例により、GCKS は IKE SA を閉じます。GM はそれを閉じるべきではありません。GCKS は、特に小規模グループの場合、帯域内キー再生成のために IKE SA をオープンにしておくことができます。インバンド鍵再生成が使用される場合、初期 IKE SA は、[RFC7296] のセクション 1.3.2 で説明されている標準 IKEv2 メカニズムを使用して、どの側でも鍵再生成できます。何らかの理由で IKE SA が閉じられており、登録プロセス中に GIKE_UPDATE ポリシーが受信されない場合、GM は自身がグループから除外されていると見なされなければなりません (MUST)。引き続きグループに参加するには、GM が再登録する必要があります。
A G-IKEv2 GCKS listens for incoming requests from GMs. When the GCKS receives an IKE_SA_INIT request, it selects an IKE proposal and generates a nonce and Diffie-Hellman (DH) to include in the IKE_SA_INIT response.
G-IKEv2 GCKS は、GM からの受信リクエストをリッスンします。GCKS は IKE_SA_INIT 要求を受信すると、IKE プロポーザルを選択し、ノンスと Diffie-Hellman (DH) を生成して IKE_SA_INIT 応答に含めます。
Upon receiving the GSA_AUTH request, the GCKS authenticates the GM via the GSA_AUTH exchange. The GCKS then authorizes the GM according to group policy before preparing to send the GSA_AUTH response. If the GCKS fails to authorize the GM, it responds with an AUTHORIZATION_FAILED notification. The GCKS may also respond with an INVALID_GROUP_ID notification if the requested group is unknown to the GCKS or with an REGISTRATION_FAILED notification if there is a problem with the requested group (e.g., if the capacity of the group is exceeded).
GSA_AUTH 要求を受信すると、GCKS は GSA_AUTH 交換を介して GM を認証します。次に、GCKS は、GSA_AUTH 応答の送信を準備する前に、グループ ポリシーに従って GM を承認します。GCKS が GM の認証に失敗した場合、AUTHORIZATION_FAILED 通知で応答します。GCKS は、要求されたグループが GCKS にとって未知の場合には INVALID_GROUP_ID 通知で応答するか、要求されたグループに問題がある場合 (たとえば、グループの容量を超えている場合) には REGISTRATION_FAILED 通知で応答することもあります。
The GSA_AUTH response will include the group policy in the GSA payload and keys in the KD payload. If the GCKS policy includes a group rekey option and the initial Message ID value the GCKS will use when sending the GSA_REKEY messages to the GMs is non-zero, then this value is specified in the GSA_INITIAL_MESSAGE_ID attribute. This Message ID is used to prevent GSA_REKEY message replay attacks and will be increased each time a GSA_REKEY message is sent to the group. The GCKS data traffic policy is included in the GSA TEK and keys are included in the KD TEK. The GW policy MAY also be included to provide the Activation Time Delay (ATD) and/or Deactivation Time Delay (DTD) (Section 4.4.3.1.1) to specify activation and deactivation delays for SAs generated from the TEKs. If the GM has indicated that it is a sender of data traffic and one or more Data-Security SAs distributed in the GSA payload included a counter mode of operation, the GCKS responds with one or more Sender-ID values (see Section 2.5).
GSA_AUTH 応答には、GSA ペイロードにグループ ポリシーが含まれ、KD ペイロードにキーが含まれます。GCKS ポリシーにグループ再キー オプションが含まれており、GSA_REKEY メッセージを GM に送信するときに GCKS が使用する初期メッセージ ID 値がゼロ以外の場合、この値は GSA_INITIAL_MESSAGE_ID 属性で指定されます。このメッセージ ID は、GSA_REKEY メッセージのリプレイ攻撃を防ぐために使用され、GSA_REKEY メッセージがグループに送信されるたびに増加します。GCKS データ トラフィック ポリシーは GSA TEK に含まれており、キーは KD TEK に含まれています。GW ポリシーには、TEK から生成された SA のアクティブ化および非アクティブ化の遅延を指定するために、アクティブ化時間遅延 (ATD) および/または非アクティブ化時間遅延 (DTD) (セクション 4.4.3.1.1) を提供するために含めることもできます (MAY)。GM がデータ トラフィックの送信者であり、GSA ペイロードに分散された 1 つ以上のデータ セキュリティ SA にカウンタ動作モードが含まれていることを示した場合、GCKS は 1 つ以上の Sender-ID 値で応答します (セクション 2.5 を参照)。
Multicast Extensions to the Security Architecture [RFC5374] defines two modes of operation for multicast Data-Security SAs: transport mode and tunnel mode with address preservation. In the latter case, outer source and destination addresses are taken from the inner IP packet. The mode of operation for the Data-Security SAs is determined by the presence of the USE_TRANSPORT_MODE notification in the GCKS's response message of the registration exchange. If it is present, then SAs are created in transport mode; otherwise, SAs are created in tunnel mode. If multiple Data-Security SAs are being created in a single registration exchange, then all of them will have the same mode of operation.
セキュリティ アーキテクチャのマルチキャスト拡張 [RFC5374] では、マルチキャスト データ セキュリティ SA の 2 つの動作モード、トランスポート モードとアドレス保存を伴うトンネル モードが定義されています。後者の場合、外側の送信元アドレスと宛先アドレスは内側の IP パケットから取得されます。データ セキュリティ SA の動作モードは、登録交換の GCKS 応答メッセージ内の USE_TRANSPORT_MODE 通知の存在によって決まります。存在する場合、SA はトランスポート モードで作成されます。それ以外の場合、SA はトンネル モードで作成されます。単一の登録交換で複数のデータ セキュリティ SA が作成されている場合、それらはすべて同じ動作モードになります。
If the GCKS receives a GSA_REGISTRATION exchange with a request to register a GM to a group, the GCKS will need to authorize the GM with the new group (IDg) and respond with the corresponding group policy and keys. If the GCKS fails to authorize the GM, it will respond with the AUTHORIZATION_FAILED notification. The GCKS may also respond with an INVALID_GROUP_ID or REGISTRATION_FAILED notify messages for the reasons described above.
GCKS が GM をグループに登録するリクエストを含む GSA_REGISTRATION 交換を受信した場合、GCKS は新しいグループ (IDg) で GM を認証し、対応するグループ ポリシーとキーで応答する必要があります。GCKS が GM の認証に失敗した場合、AUTHORIZATION_FAILED 通知で応答します。GCKS は、上記の理由により、INVALID_GROUP_ID または REGISTRATION_FAILED 通知メッセージで応答することもあります。
If a GM includes an SAg in its GSA_AUTH or GSA_REGISTRATION request, the GCKS may evaluate it according to an implementation-specific policy.
GM がその GSA_AUTH または GSA_REGISTRATION リクエストに SAg を含める場合、GCKS は実装固有のポリシーに従ってそれを評価できます。
* The GCKS could evaluate the list of Transforms and compare it to its current policy for the group. If the GM did not include all of the ESP, AH, or GIKE_UPDATE Transforms that match the current group policy or the capabilities of all other currently active GMs, then the GCKS SHOULD return a NO_PROPOSAL_CHOSEN notification. Alternatively, the GCKS can change the group policy as defined below.
* GCKS は、変換のリストを評価し、それをグループの現在のポリシーと比較できます。現在のグループ ポリシーまたは現在アクティブな他のすべての GM の機能に一致する ESP、AH、または GIKE_UPDATE 変換のすべてが GM に含まれていない場合、GCKS は NO_PROPOSAL_CHOSEN 通知を返す必要があります (SHOULD)。あるいは、GCKS は、以下に定義されているようにグループ ポリシーを変更できます。
* The GCKS could store the list of Transforms with the goal of migrating the group policy from the current set of transforms to a different one once all of the GMs indicate that they can support transforms from the new set.
* GCKS は、すべての GM が新しいセットからの変換をサポートできることを示したら、グループ ポリシーを現在の変換セットから別のセットに移行することを目的として、変換のリストを保存できます。
* The GCKS could store the list of Transforms and adjust the current group policy based on the capabilities of the devices as long as they fall within the acceptable security policy of the GCKS.
* GCKS は、GCKS の許容可能なセキュリティ ポリシー内に収まる限り、変換のリストを保存し、デバイスの機能に基づいて現在のグループ ポリシーを調整できます。
Depending on its policy, the GCKS may have no further need for the IKE SA (e.g., it does not plan to initiate a GSA_INBAND_REKEY exchange). If the GM does not initiate another registration exchange or Notify (e.g., NO_PROPOSAL_CHOSEN) and the GCKS is not intended to use the SA, then the GCKS SHOULD close the IKE SA to save resources after a short period of time.
ポリシーによっては、GCKS は IKE SA をこれ以上必要としない可能性があります (たとえば、GSA_INBAND_REKEY 交換を開始する予定がない)。GM が別の登録交換または通知 (例: NO_PROPOSAL_CHOSEN) を開始せず、GCKS が SA の使用を意図していない場合、GCKS はリソースを節約するために短期間で IKE SA を閉じる必要があります (SHOULD)。
The GCKS is responsible for rekeying the secure group per the group policy. Rekeying is an operation whereby the GCKS provides replacement TEK(s) and/or KEK, deleting TEK(s), and/or excluding GMs. The GCKS may initiate a rekey message if group membership and/or policy has changed or if the keys are about to expire. Two forms of group maintenance channels are provided in G-IKEv2 to push new policy to GMs.
GCKS は、グループ ポリシーに従ってセキュア グループのキーを再生成する役割を果たします。キーの再生成は、GCKS が置換 TEK および/または KEK を提供し、TEK を削除し、および/または GM を除外する操作です。GCKS は、グループ メンバーシップやポリシーが変更された場合、またはキーの有効期限が近づいている場合に、キー再生成メッセージを開始することがあります。新しいポリシーを GM にプッシュするために、G-IKEv2 では 2 つの形式のグループ メンテナンス チャネルが提供されます。
GSA_REKEY:
GSA_REKEY:
The GSA_REKEY is a pseudo-exchange, consisting of a one-way IKEv2 message sent by the GCKS where the rekey policy is delivered to GMs using IP multicast as a transport. This method is valuable for large and dynamic groups and where policy may change frequently and a scalable rekey method is required. When the GSA_REKEY is used, the IKE SA protecting the member registration exchanges is usually terminated and GMs await policy changes from the GCKS via the GSA_REKEY messages.
GSA_REKEY は擬似交換であり、GCKS によって送信される一方向の IKEv2 メッセージで構成され、キー再生成ポリシーがトランスポートとして IP マルチキャストを使用して GM に配信されます。この方法は、大規模で動的なグループや、ポリシーが頻繁に変更される可能性があり、スケーラブルなキー再生成方法が必要な場合に役立ちます。GSA_REKEY が使用される場合、メンバー登録交換を保護する IKE SA は通常終了され、GM は GSA_REKEY メッセージを介して GCKS からのポリシー変更を待ちます。
GSA_INBAND_REKEY:
GSA_INBAND_REKEY:
The GSA_INBAND_REKEY is a normal IKEv2 exchange using the IKE SA that was set up to protect the member registration exchange. This exchange allows the GCKS to rekey without using an independent GSA_REKEY pseudo-exchange. The GSA_INBAND_REKEY exchange provides a reliable policy delivery and is useful when G-IKEv2 is used with a small group of cooperating devices.
GSA_INBAND_REKEY は、メンバー登録交換を保護するために設定された IKE SA を使用する通常の IKEv2 交換です。この交換により、GCKS は独立した GSA_REKEY 擬似交換を使用せずにキーを再作成できるようになります。GSA_INBAND_REKEY 交換は信頼性の高いポリシー配信を提供し、G-IKEv2 が連携するデバイスの小規模なグループで使用される場合に役立ちます。
Depending on its policy, the GCKS MAY combine these two methods. For example, the GCKS may use the GSA_INBAND_REKEY to deliver a key to the GMs in the group acting as senders (as this would provide reliable keys delivery) and the GSA_REKEY for the rest of the GMs.
GCKS は、そのポリシーに応じて、これら 2 つの方法を組み合わせることができます。たとえば、GCKS は、GSA_INBAND_REKEY を使用して、送信者として機能するグループ内の GM に鍵を配信し (これにより信頼性の高い鍵配信が提供されるため)、残りの GM には GSA_REKEY を使用できます。
The GCKS initiates the G-IKEv2 rekey by sending a protected message to the GMs, usually using IP multicast. Since the Rekey messages do not require responses and are sent to multiple GMs, the windowing mechanism described in Section 2.3 of [RFC7296] MUST NOT be used for the Rekey messages. The GCKS rekey message replaces the current rekey GSA KEK or KEK array (e.g., in the case of LKH) and/or creates new Data-Security SAs. The GM_SENDER_ID attribute in the Key Download payload (defined in Section 4.5.3.3) MUST NOT be part of the Rekey Exchange, as this is sender-specific information and the Rekey Exchange is group specific. The GCKS initiates the GSA_REKEY pseudo-exchange as following:
GCKS は、通常は IP マルチキャストを使用して、保護されたメッセージを GM に送信することにより、G-IKEv2 キー再生成を開始します。Rekey メッセージは応答を必要とせず、複数の GM に送信されるため、[RFC7296] のセクション 2.3 で説明されているウィンドウメカニズムを Rekey メッセージに使用してはなりません (MUST NOT)。GCKS キー再生成メッセージは、現在のキー再生成 GSA KEK または KEK アレイ (LKH の場合など) を置き換えたり、新しいデータ セキュリティ SA を作成したりします。キーダウンロードペイロードの GM_SENDER_ID 属性 (セクション 4.5.3.3 で定義) は、送信者固有の情報であり、キー再生成交換がグループ固有であるため、キー再生成交換の一部であってはなりません (MUST NOT)。GCKS は、次のように GSA_REKEY 擬似交換を開始します。
GMs (Receivers) GCKS (Sender)
----------------- ---------------
<-- HDR, SK{GSA, KD, [N,] [AUTH]}
Figure 9: GSA_REKEY Pseudo-Exchange
図 9: GSA_REKEY 擬似交換
HDR is defined in Section 4.1. While GSA_REKEY reuses the IKEv2 header, the "IKE SA Initiator's SPI" and the "IKE SA Responder's SPI" fields are treated as a single field with a length of 16 octets containing the SPI of a Rekey SA. The value for this field is provided by the GCKS in the GSA payload (see Section 4.4.2). The Message ID in this message will start with the value the GCKS sent to the GMs in the attribute GSA_INITIAL_MESSAGE_ID or from zero if this attribute wasn't sent. The Message ID will be incremented each time a new GSA_REKEY message is sent to the GMs.
HDR はセクション 4.1 で定義されています。GSA_REKEY は IKEv2 ヘッダーを再利用しますが、「IKE SA イニシエーターの SPI」フィールドと「IKE SA レスポンダーの SPI」フィールドは、Rekey SA の SPI を含む 16 オクテットの長さの単一フィールドとして扱われます。このフィールドの値は、GSA ペイロード内の GCKS によって提供されます (セクション 4.4.2 を参照)。このメッセージのメッセージ ID は、GCKS が GSA_INITIAL_MESSAGE_ID 属性で GM に送信した値で始まり、この属性が送信されなかった場合は 0 から始まります。メッセージ ID は、新しい GSA_REKEY メッセージが GM に送信されるたびに増加します。
The GSA payload contains the current policy for rekey and Data-Security SAs. The GSA may contain a new Rekey SA and/or a new Data-Security SA(s) (Section 4.4).
GSA ペイロードには、キー再生成およびデータ セキュリティ SA の現在のポリシーが含まれています。GSA には、新しい Rekey SA および/または新しい Data-Security SA が含まれる場合があります (セクション 4.4)。
The KD payload contains the keys for the policy included in the GSA. If one or more Data-Security SAs are being refreshed in this rekey message, the IPsec keys are updated in the KD, and/or if the Rekey SA is being refreshed in this rekey message, the rekey Key or the LKH KEK array (e.g., in case of LKH) is updated in the KD payload.
KD ペイロードには、GSA に含まれるポリシーのキーが含まれています。このキー再生成メッセージで 1 つ以上のデータ セキュリティ SA がリフレッシュされている場合、KD で IPsec キーが更新され、および/またはこのキー再生成メッセージでキー再生成 SA がリフレッシュされている場合、キー再生成キーまたは LKH KEK 配列 (たとえば、LKH の場合) が KD ペイロードで更新されます。
A Delete payload MAY be included to instruct the GM to delete existing SAs. See Section 4.6 for more detail.
既存の SA を削除するように GM に指示するために、削除ペイロードを含めてもよい(MAY)。詳細については、セクション 4.6 を参照してください。
The AUTH payload MUST be included to authenticate the GSA_REKEY message if the authentication method is based on public key signatures and MUST NOT be included if authentication is implicit. In the latter case, the fact that a GM can decrypt the GSA_REKEY message and verify its Integrity Check Value (ICV) proves that the sender of this message knows the current KEK, thus authenticating the sender as a member of the group. Note that implicit authentication doesn't provide source origin authentication. For this reason, using implicit authentication for GSA_REKEY is NOT RECOMMENDED unless source origin authentication is not required (for example, in a small group of highly trusted GMs). See more about authentication methods in Section 4.4.2.1.1.
認証方法が公開鍵署名に基づいている場合は、GSA_REKEY メッセージを認証するために AUTH ペイロードを含めなければなりません (MUST)。認証が暗黙的である場合は、AUTH ペイロードを含めてはなりません。後者の場合、GM が GSA_REKEY メッセージを復号化し、その整合性チェック値 (ICV) を検証できるという事実は、このメッセージの送信者が現在の KEK を知っていることを証明し、送信者をグループのメンバーとして認証します。暗黙的認証では送信元の認証が提供されないことに注意してください。このため、ソースオリジン認証が必要でない限り (たとえば、信頼性の高い GM の小さなグループの場合)、GSA_REKEY に暗黙的認証を使用することは推奨されません。認証方法の詳細については、セクション 4.4.2.1.1 を参照してください。
During GM registration, the GCKS sends the authentication key in the KD payload, the AUTH_KEY attribute, which the GM uses to authenticate the key server. Before the current authentication key expires, the GCKS will send a new AUTH_KEY to the GMs in a GSA_REKEY message. The authentication key that is sent in the rekey message may not be the same as the authentication key sent during the GM registration. If implicit authentication is used, then AUTH_KEY MUST NOT be sent to GMs.
GM の登録中に、GCKS は KD ペイロード内の認証キーである AUTH_KEY 属性を送信します。GM はこれを使用してキー サーバーを認証します。現在の認証キーの有効期限が切れる前に、GCKS は GSA_REKEY メッセージで新しい AUTH_KEY を GM に送信します。キー再生成メッセージで送信される認証キーは、GM 登録中に送信される認証キーと同じではない場合があります。暗黙的認証が使用される場合、AUTH_KEY を GM に送信してはなりません (MUST NOT)。
The content of the AUTH payload generally depends on the authentication method from the Group Controller Authentication Method (GCAUTH) transform (Section 4.4.2.1.1). This specification defines the use of only one authentication method, Digital Signature, and the AUTH payload contains a digital signature calculated over the content of the not-yet-encrypted GSA_REKEY message.
AUTH ペイロードの内容は通常、Group Controller Authentication Method (GCAUTH) 変換 (セクション 4.4.2.1.1) からの認証方法に依存します。この仕様では、デジタル署名という 1 つの認証方法のみの使用を定義しており、AUTH ペイロードには、まだ暗号化されていない GSA_REKEY メッセージの内容に基づいて計算されたデジタル署名が含まれています。
The digital signing is applied to the concatenation of two chunks: A and P. Chunk A starts with the first octet of the G-IKEv2 header (not including prepended four octets of zeros, if port 4500 is used) and continues to the last octet of the Encrypted Payload header. Chunk P consists of the not-yet-encrypted content of the Encrypted payload, excluding the Initialization Vector, the Padding, the Pad Length, and the Integrity Checksum Data fields (see Section 3.14 of [RFC7296] for the description of the Encrypted payload). In other words, chunk P is the inner payloads of the Encrypted payload in plaintext form. Figure 10 illustrates the layout of chunks P and A in the GSA_REKEY message.
デジタル署名は、2 つのチャンク A と P の連結に適用されます。チャンク A は、G-IKEv2 ヘッダーの最初のオクテット (ポート 4500 が使用されている場合、先頭に付加されたゼロの 4 オクテットは含まれません) で始まり、暗号化ペイロード ヘッダーの最後のオクテットまで続きます。チャンク P は、初期化ベクトル、パディング、パッド長、完全性チェックサム データ フィールドを除く、暗号化ペイロードのまだ暗号化されていないコンテンツで構成されます (暗号化ペイロードの説明については、[RFC7296] のセクション 3.14 を参照)。言い換えれば、チャンク P は、平文形式の暗号化ペイロードの内部ペイロードです。図 10 は、GSA_REKEY メッセージ内のチャンク P および A のレイアウトを示しています。
Before the calculation of the AUTH payload, the inner payloads of the Encrypted payload must be fully formed and ready for encryption except for the content of the AUTH payload. The AUTH payload must have correct values in the Payload header, the Auth Method, and the RESERVED fields. The Authentication Data field is zeroed, but the ASN.1 Length and the AlgorithmIdentifier fields must be properly filled in; see Signature Authentication in [RFC7427].
AUTH ペイロードを計算する前に、暗号化ペイロードの内部ペイロードが完全に形成され、AUTH ペイロードの内容を除いて暗号化の準備ができている必要があります。AUTH ペイロードでは、Payload ヘッダー、Auth Method、および RESERVED フィールドに正しい値が含まれている必要があります。認証データ フィールドはゼロに設定されますが、ASN.1 長さフィールドと AlgorithmIdentifier フィールドは適切に入力される必要があります。[RFC7427] の署名認証を参照してください。
For the purpose of the AUTH payload calculation, the Length field in the IKE header and the Payload Length field in the Encrypted Payload header are adjusted so that they don't count the lengths of Initialization Vector, Integrity Checksum Data, and Padding (along with Pad Length field). In other words, the Length field in the IKE header (denoted as AdjustedLen in Figure 10) is set to the sum of the lengths of A and P, and the Payload Length field in the Encrypted Payload header (denoted as AdjustedPldLen in Figure 10) is set to the length of P plus the size of the Payload header (four octets).
AUTH ペイロード計算の目的で、IKE ヘッダーの長さフィールドと暗号化ペイロード ヘッダーのペイロード長フィールドは、初期化ベクトル、整合性チェックサム データ、およびパディング (パッド長フィールドとともに) の長さをカウントしないように調整されます。つまり、IKE ヘッダーの長さフィールド (図 10 では AdjustedLen と示されています) は A と P の長さの合計に設定され、暗号化ペイロード ヘッダーのペイロード長フィールド (図 10 では AdjustedPldLen と示されています) は、P の長さにペイロード ヘッダーのサイズ (4 オクテット) を加えたものに設定されます。
The input to the digital signature algorithm that computes the content of the AUTH payload can be described as:
AUTH ペイロードの内容を計算するデジタル署名アルゴリズムへの入力は、次のように記述できます。
DataToAuthenticate = A | P
GsaRekeyMessage = GenIKEHDR | EncPayload
GenIKEHDR = [ four octets 0 if using port 4500 ] | AdjustedIKEHDR
AdjustedIKEHDR = SPIi | SPIr | . . . | AdjustedLen
EncPayload = AdjustedEncPldHdr | IV | InnerPlds | Pad | PadLen | ICV
AdjustedEncPldHdr = NextPld | C | RESERVED | AdjustedPldLen
A = AdjustedIKEHDR | AdjustedEncPldHdr
P = InnerPlds
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ ^ ^
| IKE SA Initiator's SPI | | |
| | | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ I |
| IKE SA Responder's SPI | K |
| | E |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| Next Payload | MjVer | MnVer | Exchange Type | Flags | h A
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ d |
| Message ID | r |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | |
| AdjustedLen | | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ x |
| Next Payload |C| RESERVED | AdjustedPldLen | | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | v
| | |
~ Initialization Vector ~ E
| | n
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ c ^
| | r |
~ Inner Payloads (not yet encrypted) ~ P
| | P |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ l v
~ Padding (0-255 octets) | Pad Length | d
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |
| | |
~ Integrity Checksum Data ~ |
| | |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ v
Figure 10: Data to Authenticate in the GSA_REKEY Messages
図 10: GSA_REKEY メッセージで認証するデータ
The authentication data is calculated using the authentication algorithm from the Group Controller Authentication Method transform (Section 4.4.2.1.1) and the current authentication key provided in the AUTH_KEY attribute (Section 4.5.3.2). The calculated authentication data is placed into the AUTH payload, the Length fields in the IKE header and the Encryption Payload header are restored, the content of the Encrypted payload is encrypted and the ICV is computed using the current KEK.
認証データは、グループ コントローラー認証方法変換 (セクション 4.4.2.1.1) と AUTH_KEY 属性 (セクション 4.5.3.2) で提供される現在の認証キーを使用して計算されます。計算された認証データは AUTH ペイロードに配置され、IKE ヘッダーと暗号化ペイロード ヘッダーの長さフィールドが復元され、暗号化ペイロードのコンテンツが暗号化され、現在の KEK を使用して ICV が計算されます。
IKEv2 fragmentation [RFC7383] can be used to perform fragmentation of large GSA_REKEY messages; however, when the GSA_REKEY message is emitted as an IP multicast packet, there is a lack of response from the GMs. This has the following implications.
IKEv2 フラグメンテーション [RFC7383] を使用すると、大きな GSA_REKEY メッセージのフラグメンテーションを実行できます。ただし、GSA_REKEY メッセージが IP マルチキャスト パケットとして送信される場合、GM からの応答がありません。これには次のような意味があります。
* Policy regarding the use of IKE fragmentation is implicit. If a GCKS detects that all GMs have negotiated support of IKE fragmentation in IKE_SA_INIT, then it MAY use IKE fragmentation on large GSA_REKEY messages.
* IKE フラグメンテーションの使用に関するポリシーは暗黙的です。すべての GM が IKE_SA_INIT で IKE フラグメンテーションのサポートをネゴシエートしたことを GCKS が検出した場合、GCKS は大きな GSA_REKEY メッセージに対して IKE フラグメンテーションを使用してもよい(MAY)。
* The GCKS must always use IKE fragmentation based on a preconfigured fragmentation threshold, as there is no way to check if fragmentation is needed by first sending unfragmented messages and waiting for response. Section 2.5.1 of [RFC7383] contains recommendations on selecting the fragmentation threshold.
* GCKS では、事前構成されたフラグメンテーションしきい値に基づいて常に IKE フラグメンテーションを使用する必要があります。これは、最初にフラグメント化されていないメッセージを送信して応答を待つことによってフラグメンテーションが必要かどうかを確認する方法がないためです。[RFC7383] のセクション 2.5.1 には、断片化のしきい値の選択に関する推奨事項が含まれています。
* The Path MTU (PMTU) mechanism, defined in Section 2.5.2 of [RFC7383], cannot be used due to lack of GSA_REKEY response messages.
* [RFC7383] のセクション 2.5.2 で定義されているパス MTU (PMTU) メカニズムは、GSA_REKEY 応答メッセージがないため使用できません。
The calculation of authentication data MUST be applied to whole messages only before possible IKE Fragmentation. If the message was received in fragmented form, it should be reconstructed before verifying its authenticity as if it were received unfragmented. The RESERVED field in the reconstructed Encrypted Payload header MUST be set to the value of the RESERVED field in the Encrypted Fragment payload header from the first fragment (with the Fragment Number equal to 1).
認証データの計算は、IKE フラグメンテーションが発生する前にのみメッセージ全体に適用しなければなりません (MUST)。メッセージが断片化された形式で受信された場合は、断片化されていない状態で受信されたかのように、メッセージの信頼性を検証する前に再構築する必要があります。再構築された暗号化ペイロード ヘッダーの RESERVED フィールドは、最初のフラグメント (フラグメント番号が 1 に等しい) の暗号化フラグメント ペイロード ヘッダーの RESERVED フィールドの値に設定されなければなりません (MUST)。
The GCKS builds the rekey message with a Message ID value that is one greater than the value included in the previous rekey message. The first message sent over a new Rekey SA MUST use a Message ID of 0. The GSA, KD, and N payloads follow with the same characteristics as in the GSA Registration exchange. The AUTH payload (if present) is created as defined in Section 2.4.1.1.
GCKS は、前のキー再生成メッセージに含まれる値より 1 大きいメッセージ ID 値を使用してキー再生成メッセージを作成します。新しい Rekey SA 経由で送信される最初のメッセージは、メッセージ ID 0 を使用しなければなりません (MUST)。GSA、KD、および N ペイロードは、GSA 登録交換と同じ特性で続きます。AUTH ペイロード (存在する場合) は、セクション 2.4.1.1 の定義に従って作成されます。
Because GSA_REKEY messages are not acknowledged and could be discarded by the network, one or more GMs may not receive the new policy. To mitigate such lost messages, during a rekey event, the GCKS may transmit several copies of an encrypted GSA_REKEY message with the new policy. The (encrypted) retransmitted messages MUST be bitwise identical and should be sent within a short time interval (a few seconds) to ensure that the SA lifetime calculations would not be substantially skewed for the GMs that would receive different copies of the messages.
GSA_REKEY メッセージは確認されず、ネットワークによって破棄される可能性があるため、1 つ以上の GM が新しいポリシーを受信できない可能性があります。このようなメッセージの損失を軽減するために、キー再生成イベント中に、GCKS は新しいポリシーを使用して暗号化された GSA_REKEY メッセージのコピーをいくつか送信することがあります。(暗号化された) 再送信メッセージはビット単位で同一でなければならず (MUST)、メッセージの異なるコピーを受信する GM に対して SA ライフタイムの計算が大幅に偏らないようにするために、短い時間間隔 (数秒) 以内に送信する必要があります。
GCKS may also include one or several GSA_NEXT_SPI attributes specifying SPIs for the prospected rekeys so that listening GMs are able to detect lost rekey messages and recover from this situation. See Section 4.4.2.2.3 for more detail.
GCKS には、リッスンしている GM が失われたキー再生成メッセージを検出してこの状況から回復できるように、予想されるキー再生成の SPI を指定する 1 つまたは複数の GSA_NEXT_SPI 属性も含まれる場合があります。詳細については、セクション 4.4.2.2.3 を参照してください。
When a GM receives the rekey message from the GCKS, it decrypts the message and verifies its integrity using the current KEK. If the AUTH payload is present in the decrypted message, then the GM validates authenticity of the message using the key retrieved in a previous G-IKEv2 exchange. Then the GM verifies the Message ID and processes the GSA and KD payloads. The GM then installs the new Data-Security SA(s) and/or a new Rekey SA. The parsing of the payloads is identical to the parsing done in the registration exchange.
GM は GCKS からキー再生成メッセージを受信すると、メッセージを復号化し、現在の KEK を使用してその整合性を検証します。復号化されたメッセージに AUTH ペイロードが存在する場合、GM は以前の G-IKEv2 交換で取得したキーを使用してメッセージの信頼性を検証します。次に、GM はメッセージ ID を検証し、GSA および KD ペイロードを処理します。次に、GM は新しい Data-Security SA および/または新しい Rekey SA をインストールします。ペイロードの解析は、登録交換で行われる解析と同じです。
Replay protection is achieved by a GM rejecting a GSA_REKEY message that has a Message ID smaller than the current Message ID that the GM is expecting. The GM expects the Message ID in the first GSA_REKEY message it receives to be equal to or greater than the Message ID it receives in the GSA_INITIAL_MESSAGE_ID attribute. Note that if the GSA_INITIAL_MESSAGE_ID attribute is not received for the Rekey SA, the GM MUST assume zero as the first expected Message ID. The GM expects the Message ID in subsequent GSA_REKEY messages to be greater than the last valid GSA_REKEY message ID it received.
リプレイ保護は、GM が予期している現在のメッセージ ID よりも小さいメッセージ ID を持つ GSA_REKEY メッセージを GM が拒否することによって実現されます。GM は、最初に受信する GSA_REKEY メッセージのメッセージ ID が、GSA_INITIAL_MESSAGE_ID 属性で受信するメッセージ ID 以上であることを期待します。Rekey SA の GSA_INITIAL_MESSAGE_ID 属性が受信されない場合、GM は最初に予期されるメッセージ ID としてゼロを想定しなければならない(MUST) ことに注意してください。GM は、後続の GSA_REKEY メッセージのメッセージ ID が、最後に受信した有効な GSA_REKEY メッセージ ID よりも大きいことを期待します。
This specification assumes that the GSA_REKEY messages are sent with intervals that are significantly greater than typical network packet reordering intervals.
この仕様では、GSA_REKEY メッセージが、一般的なネットワーク パケットの並べ替え間隔よりも大幅に長い間隔で送信されることを前提としています。
If the GSA payload includes a Data-Security SA using cipher in a counter-mode of operation and the receiving GM is a sender for that SA, the GM uses its current Sender-ID value with the Data-Security SAs to create counter-mode nonces. If it is a sender and does not hold a current Sender-ID value (for example, when no counter-mode is employed for other Data-Security SAs), it MUST NOT install the Data-Security SAs. It MUST initiate a re-registration to the GCKS in order to obtain a Sender-ID value (along with the current group policy).
GSA ペイロードにカウンタ モードの動作で暗号を使用するデータ セキュリティ SA が含まれており、受信側 GM がその SA の送信者である場合、GM はデータ セキュリティ SA で現在の Sender-ID 値を使用してカウンタ モードのノンスを作成します。送信者であり、現在の Sender-ID 値を保持していない場合 (たとえば、他のデータ セキュリティ SA にカウンタ モードが使用されていない場合)、データ セキュリティ SA をインストールしてはなりません (MUST NOT)。Sender-ID 値を (現在のグループ ポリシーとともに) 取得するために、GCKS への再登録を開始しなければなりません (MUST)。
Once a new Rekey SA is installed as a result of a GSA_REKEY message, the current Rekey SA (over which the message was received) MUST be silently deleted after waiting the DEACTIVATION_TIME_DELAY interval regardless of its expiration time. If the message includes a Delete payload for an existing Data-Security SA, then after installing a new Data-Security SA, the old one (identified by the Protocol and SPI fields in the Delete payload) MUST be silently deleted after waiting the DEACTIVATION_TIME_DELAY interval regardless of its expiration time.
GSA_REKEY メッセージの結果として新しい Rekey SA がインストールされたら、有効期限に関係なく、DEACTIVATION_TIME_DELAY 間隔を待った後、現在の Rekey SA (メッセージを受信したもの) をサイレントに削除しなければなりません (MUST)。メッセージに既存の Data-Security SA の Delete ペイロードが含まれている場合、新しい Data-Security SA をインストールした後、有効期限に関係なく、DEACTIVATION_TIME_DELAY 間隔を待った後、古いもの (削除ペイロードの Protocol および SPI フィールドで識別される) をサイレントに削除しなければなりません (MUST)。
If a Data-Security SA is not rekeyed yet and is about to expire (a "soft lifetime" expiration is described in Section 4.4.2.1 of [RFC4301]), the GM SHOULD initiate a registration to the GCKS. This registration serves as a request for current SAs and will result in the download of replacement SAs, assuming the GCKS policy has created them. A GM SHOULD also initiate a registration request if a Rekey SA is about to expire and not yet replaced with a new one.
データセキュリティ SA がまだキー更新されておらず、期限切れが近づいている場合 (「ソフトライフタイム」期限切れについては [RFC4301] のセクション 4.4.2.1 で説明されています)、GM は GCKS への登録を開始すべきです (SHOULD)。この登録は現在の SA のリクエストとして機能し、GCKS ポリシーによって代替 SA が作成されたと仮定して、代替 SA がダウンロードされます。GM は、Rekey SA の有効期限が近づき、まだ新しい SA に置き換えられていない場合にも、登録リクエストを開始すべきである(SHOULD)。
When the IKE SA protecting the member registration exchange is maintained while a GM participates in the group, the GCKS can use the GSA_INBAND_REKEY exchange to individually provide policy updates to the GM.
GM がグループに参加している間、メンバー登録交換を保護する IKE SA が維持されている場合、GCKS は GSA_INBAND_REKEY 交換を使用してポリシー更新を GM に個別に提供できます。
GM (Responder) GCKS (Initiator)
---------------- ------------------
<-- HDR, SK{GSA, KD, [N]}
HDR, SK{} -->
Figure 11: GSA_INBAND_REKEY Exchange
図 11: GSA_INBAND_REKEY 交換
Because this is a normal IKEv2 exchange, the HDR is treated as defined in IKEv2 [RFC7296].
これは通常の IKEv2 交換であるため、HDR は IKEv2 [RFC7296] で定義されているように扱われます。
The GSA, KD, and N payloads are built in the same manner as in a registration exchange.
GSA、KD、および N ペイロードは、登録交換と同じ方法で構築されます。
The GM processes the GSA, KD, and N payloads in the same manner as if they were received in a registration exchange.
GM は、GSA、KD、および N ペイロードを、登録交換で受信した場合と同じ方法で処理します。
There are occasions when the GCKS may want to signal to GMs to delete policy when the application sending data traffic has ended or if group policy has changed. Deletion of SAs is accomplished by sending the Delete Payload described in Section 3.11 of [RFC7296] as part of the GSA_REKEY pseudo-exchange as shown below.
データ トラフィックを送信するアプリケーションが終了したとき、またはグループ ポリシーが変更されたときに、GCKS が GM にポリシーを削除するよう信号を送りたい場合があります。SA の削除は、[RFC7296] のセクション 3.11 で説明されている削除ペイロードを、以下に示すように GSA_REKEY 擬似交換の一部として送信することによって実行されます。
GMs (Receivers) GCKS (Sender)
---------------- ---------------
<-- HDR, SK{D, [N,] [AUTH]}
Figure 12: SA Deletion in GSA_REKEY
図 12: GSA_REKEY での SA の削除
If GCKS has a unicast SA with a GM, then it can use the GSA_INBAND_REKEY exchange to delete SAs.
GCKS に GM とのユニキャスト SA がある場合、GSA_INBAND_REKEY 交換を使用して SA を削除できます。
GM (Responder) GCKS (Initiator)
--------------- ------------------
<-- HDR, SK{D, [N]}
HDR, SK{} -->
Figure 13: SA Deletion in GSA_INBAND_REKEY
図 13: GSA_INBAND_REKEY での SA の削除
There may be circumstances where the GCKS may want to start over with a clean state, e.g., in case it runs out of available Sender-IDs. The GCKS can signal deletion of all the Data-Security SAs by sending a Delete payload with an SPI value equal to zero. For example, if the GCKS wishes to remove the Rekey SA and all the Data-Security SAs, the GCKS sends a Delete payload with an SPI of zero and a Protocol ID of AH or ESP, followed by another Delete payload with an SPI of zero and a Protocol ID of GIKE_UPDATE.
利用可能な Sender-ID がなくなった場合など、GCKS がクリーンな状態でやり直す必要がある状況が考えられます。GCKS は、SPI 値が 0 の Delete ペイロードを送信することで、すべての Data-Security SA の削除を通知できます。たとえば、GCKS が Rekey SA とすべての Data-Security SA を削除したい場合、GCKS は SPI が 0、プロトコル ID が AH または ESP の削除ペイロードを送信し、続いて SPI が 0、プロトコル ID が GIKE_UPDATE の別の削除ペイロードを送信します。
If a GM receives a Delete payload with zero SPI and a Protocol ID of GIKE_UPDATE, it means that the GM is excluded from the group. Such Delete payload may be received either in the GSA_REKEY pseudo-exchange or in the GSA_INBAND_REKEY exchange. In this situation, the GM MUST re-register if it wants to continue participating in this group. The registration is performed as described in Section 2.3. It is RECOMMENDED that a GM waits some randomly chosen time before initiating a registration request in this situation to avoid overloading the GCKS. This document doesn't specify the maximum delay, which is implementation-dependent, but it is believed that the order of seconds suits most situations. Note that if the unicast SA between the GM and the GCKS exists, then the GM may use the GSA_REGISTRATION exchange to re-register. However, after excluding a GM from the group, the GCKS MAY immediately delete the unicast SA with this GM (if any) if the credentials of this GM are revoked.
GM が SPI がゼロでプロトコル ID が GIKE_UPDATE の削除ペイロードを受信した場合、その GM はグループから除外されていることを意味します。このような削除ペイロードは、GSA_REKEY 擬似交換または GSA_INBAND_REKEY 交換のいずれかで受信できます。この状況で、GM がこのグループに参加し続けたい場合は、再登録する必要があります。登録はセクション 2.3 で説明されているように実行されます。GCKS の過負荷を避けるために、この状況では登録リクエストを開始する前に、GM がランダムに選択された時間待機することが推奨されます。この文書では、最大遅延は実装に依存するため指定されていませんが、秒単位がほとんどの状況に適していると考えられています。GM と GCKS の間にユニキャスト SA が存在する場合、GM は GSA_REGISTRATION 交換を使用して再登録できることに注意してください。ただし、グループから GM を除外した後、この GM の資格情報が取り消された場合、GCKS はこの GM (存在する場合) のユニキャスト SA を直ちに削除してもよい(MAY)。
Several counter-based modes of operation have been specified for ESP (e.g., AES-CTR [RFC3686], AES-GCM [RFC4106], AES-CCM [RFC4309], ChaCha20-Poly1305 [RFC7634], and AES-GMAC [RFC4543]) and AH (e.g., AES-GMAC [RFC4543]). These counter-based modes require that no two senders in the group ever send a packet with the same IV using the same cipher key and mode. This requirement is met in G-IKEv2 when the following measures are taken:
ESP (例: AES-CTR [RFC3686]、AES-GCM [RFC4106]、AES-CCM [RFC4309]、ChaCha20-Poly1305 [RFC7634]、および AES-GMAC [RFC4543]) および AH (例: AES-GMAC) には、いくつかのカウンタベースの動作モードが指定されています。[RFC4543])。これらのカウンタベースのモードでは、グループ内の 2 人の送信者が同じ暗号キーとモードを使用して同じ IV のパケットを送信しないことが必要です。G-IKEv2 では、次の対策が講じられた場合にこの要件が満たされます。
* The GCKS distributes a unique key for each Data-Security SA.
* GCKS は、データ セキュリティ SA ごとに一意のキーを配布します。
* The GCKS uses the method described in [RFC6054], which assigns each sender a portion of the IV space by provisioning each sender with one or more unique Sender-ID values.
* GCKS は、[RFC6054] で説明されている方法を使用します。この方法では、各送信者に 1 つ以上の一意の Sender-ID 値をプロビジョニングすることで、IV 空間の一部を各送信者に割り当てます。
When at least one Data-Security SA included in the group policy includes a counter-based mode of operation, the GCKS automatically allocates and distributes one Sender-ID to each GM acting in the role of sender on the Data-Security SA. The Sender-ID value is used exclusively by the group sender to which it was allocated. The group sender uses the same Sender-ID for each Data-Security SA specifying the use of a counter-based mode of operation. A GCKS MUST distribute unique keys for each Data-Security SA, including a counter-based mode of operation in order to maintain unique key and nonce usage.
グループ ポリシーに含まれる少なくとも 1 つのデータ セキュリティ SA にカウンタ ベースの動作モードが含まれる場合、GCKS は、データ セキュリティ SA で送信者の役割を果たす各 GM に 1 つの送信者 ID を自動的に割り当てて配布します。Sender-ID 値は、割り当てられたグループ送信者によって排他的に使用されます。グループ送信者は、各データ セキュリティ SA に対して同じ送信者 ID を使用し、カウンタベースの動作モードの使用を指定します。GCKS は、一意のキーとナンスの使用を維持するために、カウンタベースの動作モードを含め、各データ セキュリティ SA に一意のキーを配布しなければなりません (MUST)。
During registration, the group sender can choose to request one or more Sender-ID values. Requesting a value of 1 is not necessary since the GCKS will automatically allocate exactly one to the group sender. A group sender MUST request as many Sender-ID values matching the number of encryption modules in which it will be installing the TEKs in the outbound direction. Alternatively, a group sender MAY request more than one Sender-ID and use them serially. This could be useful when it is anticipated that the group sender will exhaust their range of Data-Security SA nonces using a single Sender-ID too quickly (e.g., before the time-based policy in the TEK expires).
登録中に、グループ送信者は 1 つ以上の Sender-ID 値を要求することを選択できます。GCKS はグループ送信者に 1 つだけを自動的に割り当てるため、値 1 を要求する必要はありません。グループ送信者は、アウトバウンド方向に TEK をインストールする暗号化モジュールの数と一致する数の Sender-ID 値を要求しなければなりません (MUST)。あるいは、グループ送信者は複数の Sender-ID を要求し、それらを連続して使用してもよい (MAY)。これは、グループ送信者が単一の送信者 ID を使用してデータ セキュリティ SA ノンスの範囲をあまりにも早く使い果たすことが予想される場合 (たとえば、TEK の時間ベースのポリシーが期限切れになる前に) 役立つ可能性があります。
When the group policy includes a counter-based mode of operation, a GCKS should use the following method to allocate Sender-ID values, which ensures that each Sender-ID will be allocated to just one group sender.
グループ ポリシーにカウンタ ベースの動作モードが含まれている場合、GCKS は次の方法を使用して Sender-ID 値を割り当てる必要があります。これにより、各 Sender-ID が 1 つのグループ送信者にのみ割り当てられるようになります。
1. A GCKS maintains a Sender-ID counter, which records the Sender-IDs that have been allocated. Sender-IDs are allocated sequentially with zero as the first allocated value.
1. GCKS は、割り当てられた Sender-ID を記録する Sender-ID カウンタを維持します。送信者 ID は、最初に割り当てられる値が 0 であるように、順番に割り当てられます。
2. Each time a Sender-ID is allocated, the current value of the counter is saved and allocated to the group sender. The Sender-ID counter is then incremented in preparation for the next allocation.
2. Sender-ID が割り当てられるたびに、カウンターの現在の値が保存され、グループ送信者に割り当てられます。次に、次の割り当てに備えて Sender-ID カウンタがインクリメントされます。
3. When the GCKS specifies a counter-based mode of operation in the Data-Security SA, a group sender may request a count of Sender-IDs during registration in a Notify payload information of type SENDER. When the GCKS receives this request, it increments the Sender-ID counter once for each requested Sender-ID and distributes each Sender-ID value to the group sender. The GCKS should have a policy-defined upper bound for the number of Sender-ID values that it will return irrespective of the number requested by the GM.
3. GCKS が Data-Security SA でカウンタベースの動作モードを指定する場合、グループ送信者は、SENDER タイプの Notify ペイロード情報への登録中に Sender-ID のカウントを要求できます。GCKS がこの要求を受信すると、要求された各 Sender-ID ごとに Sender-ID カウンタを 1 回インクリメントし、各 Sender-ID 値をグループ送信者に配布します。GCKS には、GM によって要求された数に関係なく、GCKS が返す Sender-ID 値の数についてポリシーで定義された上限が必要です。
4. A GCKS allocates new Sender-ID values for each registration operation by a group sender, regardless of whether the group sender had previously contacted the GCKS. In this way, the GCKS is not required to maintain a record of which Sender-ID values it had previously allocated to each group sender. More importantly, since the GCKS cannot reliably detect whether the group sender had sent data on the current group Data-Security SAs, it does not know what Data-Security counter-mode nonce values that a group sender has used. By distributing new Sender-ID values, the key server ensures that each time a conforming group sender installs a Data-Security SA, it will use a unique set of counter-based mode nonces.
4. GCKS は、グループ送信者が以前に GCKS に連絡したかどうかに関係なく、グループ送信者による登録操作ごとに新しい Sender-ID 値を割り当てます。このように、GCKS は、以前に各グループ送信者にどの Sender-ID 値を割り当てたかの記録を維持する必要がありません。さらに重要なのは、GCKS は、グループ送信者が現在のグループ データ セキュリティ SA にデータを送信したかどうかを確実に検出できないため、グループ送信者が使用したデータ セキュリティ カウンタ モードのノンス値がわからないことです。新しい Sender-ID 値を配布することにより、キー サーバーは、適合するグループ送信者が Data-Security SA をインストールするたびに、一意のカウンタベース モード ノンス セットを使用することを保証します。
5. When the Sender-ID counter maintained by the GCKS reaches its final Sender-ID value, no more Sender-ID values can be distributed. Before distributing any new Sender-ID values, the GCKS MUST exclude all GMs from the group as described in Section 2.4.3. This will result in the GMs performing re-registration, during which they will receive new Data-Security SAs and group senders will additionally receive new Sender-ID values. The new Sender-ID values can safely be used because they are only used with the new Data-Security SAs.
5. GCKS によって維持される Sender-ID カウンタが最終的な Sender-ID 値に達すると、それ以上の Sender-ID 値を配布できなくなります。新しい Sender-ID 値を配布する前に、GCKS はセクション 2.4.3 で説明されているように、グループからすべての GM を除外しなければなりません (MUST)。これにより、GM は再登録を実行し、その間に新しい Data-Security SA を受け取り、グループ送信者はさらに新しい Sender-ID 値を受け取ります。新しい Sender-ID 値は、新しい Data-Security SA でのみ使用されるため、安全に使用できます。
A GM applies the Sender-ID to Data-Security SAs as follows:
GM は、次のように Sender-ID をデータ セキュリティ SA に適用します。
* The most significant bits of the IV indicated in the GWP_SENDER_ID_BITS attribute (Section 4.4.3.1.2) are taken to be the Sender-ID field of the IV.
* GWP_SENDER_ID_BITS 属性 (セクション 4.4.3.1.2) で示される IV の最上位ビットは、IV の Sender-ID フィールドとみなされます。
* The Sender-ID is placed in the least significant bits of the Sender-ID field, where any unused most significant bits are set to zero. If the Sender-ID value doesn't fit into the number of bits from the GWP_SENDER_ID_BITS attributes, then the GM MUST treat this as a fatal error and re-register to the group.
* Sender-ID は Sender-ID フィールドの最下位ビットに配置され、未使用の最上位ビットはゼロに設定されます。Sender-ID 値が GWP_SENDER_ID_BITS 属性のビット数に適合しない場合、GM はこれを致命的なエラーとして扱い、グループに再登録しなければなりません。
IPsec provides anti-replay service as part of its security services. With multicast extensions for IPsec, replay protection is not always possible to achieve (see Section 6.1 of [RFC3740]). In particular, if there are many group senders for a Data-Security SA, then each of them will independently increment the Sequence Number field in the ESP header (see Section 2.2 of [RFC4303] and Section 2.5 of [RFC4302]), thus making it impossible for the group receivers to filter out replayed packets. However, if there is only one group sender for a Data-Security SA, then it is possible to achieve replay protection with some restrictions (see Section 4.4.2.1.3). The GCKS MAY create several Data-Security SAs with the same traffic selectors allowing only a single group sender in each SA if it is desirable to get replay protection with multiple (but still a limited number) of group senders.
IPsec は、セキュリティ サービスの一部としてアンチリプレイ サービスを提供します。IPsec のマルチキャスト拡張では、リプレイ保護が常に達成できるわけではありません ([RFC3740] のセクション 6.1 を参照)。特に、データセキュリティ SA に多数のグループ送信者が存在する場合、各送信者は ESP ヘッダーのシーケンス番号フィールドを独立してインクリメントするため ([RFC4303] のセクション 2.2 および [RFC4302] のセクション 2.5 を参照)、グループ受信者がリプレイされたパケットをフィルターで除外することができなくなります。ただし、データセキュリティ SA のグループ送信者が 1 つだけの場合は、いくつかの制限付きでリプレイ保護を実現できます (セクション 4.4.2.1.3 を参照)。複数の (それでも限られた数の) グループ送信者によるリプレイ保護を取得することが望ましい場合、GCKS は、各 SA で 1 つのグループ送信者のみを許可する同じトラフィック セレクターを持つ複数のデータ セキュリティ SA を作成してもよい(MAY)。
IPsec architecture assumes that whether anti-replay service is enabled or not is a local matter for an IPsec receiver. In other words, an IPsec sender always increments the Sequence Number field in the ESP/AH header and a receiver decides whether to check for replayed packets or not. Since it is known in some cases that the replay protection is not possible (like in an SA with many group senders), a new Transform ID "32-bit Unspecified Numbers" is defined for the Sequence Numbers (SNs) Transform Type. Using this Transform ID, the GCKS can inform GMs that the uniqueness of sequence numbers for a given SA is not guaranteed. The decision of whether to enable anti-replay service is still a local matter of a GM (in accordance with IPsec architecture).
IPsec アーキテクチャでは、アンチリプレイ サービスが有効かどうかは IPsec 受信側のローカルな問題であると想定しています。言い換えれば、IPsec 送信者は常に ESP/AH ヘッダーのシーケンス番号フィールドをインクリメントし、受信者はリプレイされたパケットをチェックするかどうかを決定します。場合によってはリプレイ保護が不可能であることがわかっているため (多数のグループ送信者を持つ SA など)、新しい変換 ID「32 ビット不特定番号」がシーケンス番号 (SN) 変換タイプに対して定義されます。この変換 ID を使用して、GCKS は、特定の SA のシーケンス番号の一意性が保証されていないことを GM に通知できます。アンチリプレイ サービスを有効にするかどうかの決定は、依然として GM のローカルな問題です (IPsec アーキテクチャに従って)。
The GCKS MUST include the Sequence Numbers transform in the GSA payload for every Data-Security SA. See Section 4.4.2.1.3 for more details.
GCKS は、すべてのデータ セキュリティ SA の GSA ペイロードにシーケンス番号変換を含めなければなりません (MUST)。詳細については、セクション 4.4.2.1.3 を参照してください。
When a Data-Security SA has a single sender, the GCKS MUST be configured to rekey the SA frequently enough so that the 32-bit sequence numbers do not wrap.
データ セキュリティ SA の送信者が 1 人の場合、32 ビット シーケンス番号が折り返されないように、GCKS は SA のキーを頻繁に更新するように構成されなければなりません (MUST)。
The "Transform Type 1 - Encryption Algorithm Transform IDs" IANA registry [IKEV2-IANA] defines several transforms with implicit IV. These transforms rely on ESP Sequence Numbers for constructing IV (see [RFC8750] for details). It requires anti-replay service to be enabled for an ESP SA using these encryption transforms. Unless the properties of sequence numbers for a multicast ESP SA include their uniqueness (see Section 2.6), encryption transforms that rely on Sequence Numbers for IV construction MUST NOT be used. In any case, such transforms MUST NOT be used for any G-IKEv2 SA (both unicast and multicast).
「変換タイプ 1 - 暗号化アルゴリズム変換 ID」IANA レジストリ [IKEV2-IANA] は、暗黙的な IV を持ついくつかの変換を定義します。これらの変換は、IV を構築するために ESP シーケンス番号に依存します (詳細については [RFC8750] を参照)。これらの暗号化変換を使用する ESP SA に対してアンチリプレイ サービスを有効にする必要があります。マルチキャスト ESP SA のシーケンス番号のプロパティにその一意性が含まれていない限り (セクション 2.6 を参照)、IV 構築にシーケンス番号に依存する暗号化変換を使用してはなりません (MUST NOT)。いずれの場合も、そのような変換は G-IKEv2 SA (ユニキャストとマルチキャストの両方) に使用してはなりません (MUST NOT)。
Through the G-IKEv2 rekey, G-IKEv2 supports algorithms such as Logical Key Hierarchy (LKH) that have the property of denying access to a new group key by a member removed from the group (forward access control) and to an old group key by a member added to the group (backward access control). This is unrelated to the Perfect Forward Secrecy (PFS) property as defined in Section 2.12 of [RFC7296].
G-IKEv2 は、G-IKEv2 キー再生成を通じて、グループから削除されたメンバーによる新しいグループ キーへのアクセス (順方向アクセス制御)、およびグループに追加されたメンバーによる古いグループ キーへのアクセス (逆方向アクセス制御) を拒否する特性を持つ論理キー階層 (LKH) などのアルゴリズムをサポートします。これは、[RFC7296] のセクション 2.12 で定義されている Perfect Forward Secrecy (PFS) プロパティとは無関係です。
Group management algorithms providing forward and backward access control other than LKH have also been proposed, for example, OFT [OFT] and Subset Difference [NNL]. These algorithms could be used with G-IKEv2 but are not specified as a part of this document.
LKH 以外の順方向および逆方向のアクセス制御を提供するグループ管理アルゴリズム、たとえば、OFT [OFT] や Subset Difference [NNL] も提案されています。これらのアルゴリズムは G-IKEv2 で使用できますが、このドキュメントの一部としては指定されていません。
This specification assumes that all group keys, that are sent to the GMs by the GCKS, are encrypted with some other keys, called Key Wrap Keys (KWKs). The Key Wrap Algorithm transform defines the algorithm used for key wrapping in the context of an SA.
この仕様では、GCKS によって GM に送信されるすべてのグループ キーが、キー ラップ キー (KWK) と呼ばれる他のキーで暗号化されていることを前提としています。キー ラップ アルゴリズム変換は、SA のコンテキストでキー ラッピングに使用されるアルゴリズムを定義します。
Every GM always knows at least one KWK -- the KWK that is associated with the IKE SA or multicast Rekey SA over which wrapped keys are sent. In this document, it is called default KWK and is denoted as "GSK_w".
すべての GM は常に、少なくとも 1 つの KWK、つまり、ラップされたキーが送信される IKE SA またはマルチキャスト Rekey SA に関連付けられている KWK を知っています。この文書では、これをデフォルト KWK と呼び、「GSK_w」と表記します。
For the purpose of forward access control, the GCKS may provide each GM with its personal KWK at the time of registration. Additionally, several intermediate KWKs that form a key hierarchy and are shared among several GMs may be provided by the GCKS.
順方向アクセス制御の目的で、GCKS は登録時に各 GM に個人の KWK を提供する場合があります。さらに、キー階層を形成し、複数の GM 間で共有されるいくつかの中間 KWK が GCKS によって提供される場合があります。
Each KWK is associated with a key wrap algorithm specified in the Key Wrap Algorithm transform. The size of these KWKs is determined by the key wrap algorithm used, but it SHOULD NOT be less than the size of the key for the Encryption Algorithm transform for the Rekey SA and for all Data-Security SAs in the group (taking the Key Length attribute into consideration if it is present).
各 KWK は、キー ラップ アルゴリズム変換で指定されたキー ラップ アルゴリズムに関連付けられます。これらの KWK のサイズは、使用されるキー ラップ アルゴリズムによって決まりますが、キー再生成 SA およびグループ内のすべてのデータ セキュリティ SA の暗号化アルゴリズム変換のキーのサイズより小さくすべきではありません (キーの長さ属性が存在する場合はそれを考慮します)。
The default KWK (GSK_w) is only used in the context of a single IKE SA. Every IKE SA (unicast IKE SA or multicast Rekey SA) will have its own GSK_w.
デフォルトの KWK (GSK_w) は、単一の IKE SA のコンテキストでのみ使用されます。すべての IKE SA (ユニキャスト IKE SA またはマルチキャスト Rekey SA) は独自の GSK_w を持ちます。
For the unicast IKE SA (used for the GM registration and for GSA_INBAND_REKEY exchanges if they appear), the GSK_w is computed as follows:
ユニキャスト IKE SA (GM 登録および GSA_INBAND_REKEY 交換 (存在する場合) に使用される) の場合、GSK_w は次のように計算されます。
GSK_w = prf+(SK_d, "Key Wrap for G-IKEv2")
where the string "Key Wrap for G-IKEv2" is 20 ASCII characters without null termination.
ここで、文字列「Key Wrap for G-IKEv2」は、ヌル終了なしの 20 文字の ASCII 文字です。
For the multicast Rekey SA, the GSK_w is provided along with other SA keys as defined in Section 3.4.
マルチキャスト Rekey SA の場合、セクション 3.4 で定義されているように、GSK_w が他の SA キーとともに提供されます。
The Wrapped Key Download method allows the GCKS to employ various key management methods.
ラップされたキーのダウンロード方法により、GCKS はさまざまなキー管理方法を使用できるようになります。
A simple key management method:
シンプルな鍵管理方法:
The GCKS always sends group SA keys encrypted with the GSK_w.
GCKS は常に、GSK_w で暗号化されたグループ SA 鍵を送信します。
An LKH key management method:
LKH 鍵管理方法:
The GCKS provides each GM with an individual key at the time of the GM registration (encrypted with GSK_w). Then, the GCKS forms a hierarchy of keys so that the group SA keys are encrypted with other keys that are encrypted with other keys and so on, tracing back to the keys for each GM.
GCKS は、GM 登録時に各 GM に個別の鍵を提供します (GSK_w で暗号化されます)。次に、GCKS はキーの階層を形成し、グループ SA キーが他のキーで暗号化され、そのキーが他のキーで暗号化されるというように、各 GM のキーまで遡っていきます。
Other key policies may also be employed by the GCKS.
他の主要なポリシーも GCKS によって使用される場合があります。
When a group membership is altered using a group management algorithm, new Data-Security SAs and their associated keys are usually also needed. New Data-Security SAs and keys ensure that members who were denied access can no longer participate in the group.
グループ管理アルゴリズムを使用してグループ メンバーシップが変更される場合、通常、新しいデータ セキュリティ SA とそれに関連するキーも必要になります。新しいデータ セキュリティ SA とキーにより、アクセスを拒否されたメンバーはグループに参加できなくなります。
If forward access control is a desired property of the group, a new TEK policy and the associated keys MUST NOT be included in a G-IKEv2 rekey message, which changes group membership. This is required because the GSA TEK policy and the associated keys are not protected with the new KEK. A second G-IKEv2 rekey message can deliver the new GSA TEK policies and their associated keys because it will be protected with the new KEK and thus will not be visible to the members who were denied access.
順方向アクセス制御がグループの望ましいプロパティである場合、グループ メンバーシップを変更する G-IKEv2 キー再生成メッセージに新しい TEK ポリシーと関連キーを含めてはなりません (MUST NOT)。GSA TEK ポリシーと関連キーが新しい KEK で保護されていないため、これが必要です。2 番目の G-IKEv2 キー再生成メッセージは、新しい GSA TEK ポリシーとその関連キーを配信できます。これは、このメッセージが新しい KEK で保護され、アクセスを拒否されたメンバーには表示されないためです。
If forward access control policy for the group includes keeping group policy changes from members that are denied access to the group, then two sequential G-IKEv2 rekey messages changing the group KEK MUST be sent by the GCKS. The first G-IKEv2 rekey message creates a new KEK for the group. GMs, which are denied access, will not be able to access the new KEK, but they will see the group policy since the G-IKEv2 rekey message is protected under the current KEK. A subsequent G-IKEv2 rekey message containing the changed group policy and again changing the KEK allows complete forward access control. A G-IKEv2 rekey message MUST NOT change the policy without creating a new KEK.
グループの順方向アクセス制御ポリシーに、グループへのアクセスを拒否されたメンバーからのグループ ポリシーの変更を保持することが含まれている場合、グループ KEK を変更する 2 つの連続する G-IKEv2 キー再生成メッセージが GCKS によって送信されなければなりません (MUST)。最初の G-IKEv2 キー再生成メッセージは、グループの新しい KEK を作成します。アクセスを拒否された GM は新しい KEK にアクセスできませんが、G-IKEv2 キー再生成メッセージが現在の KEK で保護されているため、グループ ポリシーが表示されます。変更されたグループ ポリシーを含む後続の G-IKEv2 キー再生成メッセージと KEK の再変更により、完全な順方向アクセス制御が可能になります。G-IKEv2 キー再生成メッセージは、新しい KEK を作成せずにポリシーを変更してはなりません (MUST NOT)。
If other methods of using LKH or other group management algorithms are added to G-IKEv2, those methods MAY remove the above restrictions requiring multiple G-IKEv2 rekey messages, providing those methods specify how the forward access control policy is maintained within a single G-IKEv2 rekey message.
LKH または他のグループ管理アルゴリズムを使用する他の方法が G-IKEv2 に追加される場合、それらの方法は、単一の G-IKEv2 キー再生成メッセージ内で順方向アクセス制御ポリシーがどのように維持されるかを指定する限り、複数の G-IKEv2 キー再生成メッセージを必要とする上記の制限を削除してもよい(MAY)。
This specification defines GM Key Management semantics in such a way that it doesn't depend on the key management method employed by the GCKS. This allows having all the complexity of key management in the GCKS, which is free to implement various key management methods such as direct transmitting of group SA keys or using some kind of key hierarchy (e.g., LKH). The GM behavior is the same for all of these policies.
この仕様は、GCKS で採用されている鍵管理方法に依存しない方法で GM 鍵管理セマンティクスを定義します。これにより、複雑な鍵管理をすべて GCKS で行うことができ、グループ SA 鍵の直接送信や、ある種の鍵階層 (LKH など) の使用など、さまざまな鍵管理方法を自由に実装できます。GM の動作は、これらすべてのポリシーで同じです。
All keys in G-IKEv2 are transmitted in encrypted form as specified in Section 4.5.4. This format includes a 32-bit Key ID (ID of a key that is encrypted) and a 32-bit KWK ID (ID of a key that was used to encrypt this key). Keys may be encrypted either with a default KWK (GSK_w) or with other keys, which the GM has received in the WRAP_KEY attributes. If a key was encrypted with GSK_w, then the KWK ID field is set to zero. Otherwise, the KWK ID field identifies the key used for encryption. A zero Key ID always identifies the key from which the keys for protecting Data-Security SAs and Rekey SA are taken.
G-IKEv2 のすべてのキーは、セクション 4.5.4 で指定されているように暗号化された形式で送信されます。この形式には、32 ビットのキー ID (暗号化されるキーの ID) と 32 ビット KWK ID (このキーの暗号化に使用されたキーの ID) が含まれます。キーは、デフォルトの KWK (GSK_w) または GM が WRAP_KEY 属性で受け取った他のキーのいずれかを使用して暗号化できます。鍵が GSK_w で暗号化された場合、KWK ID フィールドはゼロに設定されます。それ以外の場合、KWK ID フィールドは暗号化に使用されるキーを識別します。ゼロのキー ID は常に、データ セキュリティ SA および Rekey SA を保護するためのキーが取得されるキーを識別します。
When a GM receives a message from the GCKS installing the new Data-Security or Rekey SA, it will contain a KD payload with an SA_KEY attribute containing keying material for this SA. For a Data-Security SA, exactly one SA_KEY attribute will be present with both Key ID and KWK ID fields set to zero. This means that the default KWK (GSK_w) should be used to extract this keying material.
GM が新しい Data-Security SA または Rekey SA をインストールするメッセージを GCKS から受信すると、そのメッセージには、この SA の鍵情報を含む SA_KEY 属性を持つ KD ペイロードが含まれます。データ セキュリティ SA の場合、キー ID フィールドと KWK ID フィールドの両方がゼロに設定された SA_KEY 属性が 1 つだけ存在します。これは、この鍵マテリアルを抽出するにはデフォルトの KWK (GSK_w) を使用する必要があることを意味します。
For a multicast Rekey SA, multiple SA_KEY attributes may be present depending on the key management method employed by the GCKS. If multiple SA_KEY attributes are present, then all of them MUST contain the same keying material encrypted using different KWKs. The GM in general is unaware of the key management method used by the GCKS and can always use the same procedure to get the keys. The GM tries to decrypt at least one of the SA_KEY attributes using either the GSK_w or the keys from the WRAP_KEY attributes that are present in the same message or were received in previous messages.
マルチキャスト Rekey SA の場合、GCKS で採用されているキー管理方法に応じて、複数の SA_KEY 属性が存在する可能性があります。複数の SA_KEY 属性が存在する場合、それらのすべてに、異なる KWK を使用して暗号化された同じ鍵マテリアルが含まれなければなりません (MUST)。一般に、GM は GCKS で使用されるキー管理方法を認識せず、常に同じ手順を使用してキーを取得できます。GM は、GSK_w または同じメッセージ内に存在するか前のメッセージで受信された WRAP_KEY 属性のキーを使用して、SA_KEY 属性の少なくとも 1 つを復号化しようとします。
We will use the term "Key Path" to describe an ordered sequence of keys where each subsequent key was used to encrypt the previous one. The GM keeps its own Key Path (called Working Key Path) in the memory associated with each group it is registered to and updates it when needed. When the GSA_REKEY message is received, the GM processes the received SA_KEY attributes one by one and tries to construct a new key path that starts from one of these attributes and ends with any key in the Working Key Path or with the default KWK (GSK_w).
「キー パス」という用語は、後続の各キーが前のキーの暗号化に使用される、順序付けられたキーのシーケンスを表すために使用します。GM は、登録されている各グループに関連付けられたメモリ内に独自のキー パス (ワーキング キー パスと呼ばれる) を保持し、必要に応じて更新します。GSA_REKEY メッセージを受信すると、GM は受信した SA_KEY 属性を 1 つずつ処理し、これらの属性の 1 つから始まり、作業キー パス内の任意のキーまたはデフォルト KWK (GSK_w) で終わる新しいキー パスの構築を試みます。
In the simplest case, the SA_KEY attribute is encrypted with GSK_w so that the new Key Path is empty. If more complex key management methods are used, then a Key Path will contain intermediate keys from the WRAP_KEY attributes received by a GM so far, starting from its registration to the group. If the GM is able to construct a new Key Path using intermediate keys it has, then it is able to decrypt the SA_KEY attribute and use its content to form new SA keys. If it is unable to build a new Key Path, then it means that the GM is excluded from the group.
最も単純なケースでは、SA_KEY 属性が GSK_w で暗号化されるため、新しいキー パスは空になります。より複雑なキー管理方法が使用される場合、キー パスには、グループへの登録から開始して、GM がそれまでに受信した WRAP_KEY 属性からの中間キーが含まれます。GM が保有する中間キーを使用して新しいキー パスを構築できる場合、SA_KEY 属性を復号し、その内容を使用して新しい SA キーを形成できます。新しいキー パスを構築できない場合は、GM がグループから除外されていることを意味します。
Depending on the new Key Path, the GM should do the following actions to be prepared for future key updates:
新しいキー パスに応じて、GM は将来のキー更新に備えて次のアクションを実行する必要があります。
* If the new Key Path is empty, then no actions are needed. This may happen if no WRAP_KEY attributes from the received message were used.
* 新しいキー パスが空の場合、アクションは必要ありません。これは、受信メッセージの WRAP_KEY 属性が使用されなかった場合に発生する可能性があります。
* If the new Key Path is non-empty and it ends with the default KWK (GSK_w), then the whole new Key Path is stored by the GM as the GM's Working Key Path. This situation may only happen at the time the GM is registering to the group, when the GCKS is providing the GM with its personal key and the other keys from the key tree that are needed. These keys form an initial Working Key Path for this GM.
* 新しいキー パスが空ではなく、デフォルトの KWK (GSK_w) で終わる場合、新しいキー パス全体が GM の作業キー パスとして GM によって保存されます。この状況は、GM がグループに登録するとき、GCKS が GM にその個人キーと必要なキー ツリーの他のキーを提供するときにのみ発生する可能性があります。これらのキーは、この GM の初期作業キー パスを形成します。
* In all other cases, the new Key Path will end at some intermediate key from the GM's current Working Key Path. In this case, the new Key Path is constructed by replacing a part of the GM's current Working Key Path from the beginning and up to (but not including) the key that the GM has used to decrypt the last key in the new Key Path.
* それ以外の場合はすべて、新しいキー パスは GM の現在の作業キー パスからの中間キーで終了します。この場合、新しいキー パスは、GM の現在の作業キー パスの一部を最初から、GM が新しいキー パスの最後のキーを復号化するために使用したキーまで (ただし、キー パスは含まない) 置き換えることによって構築されます。
Appendix A contains an example of how this algorithm works in case of LKH key management method.
付録 A には、LKH 鍵管理方式の場合にこのアルゴリズムがどのように機能するかの例が含まれています。
The keys that are used for Data-Security SAs or a Rekey SA (called SA keys here) are downloaded to GMs in the form of keying material from which, according to policy, a set of keys are deterministically extracted.
Data-Security SA または Rekey SA (ここでは SA キーと呼びます) に使用されるキーは、キーマテリアルの形式で GM にダウンロードされ、そこからポリシーに従って一連のキーが決定的に抽出されます。
For a Data-Security SA, the keys are taken in accordance to the third bullet from Section 2.17 of [RFC7296]. In particular, for the ESP and AH SAs, the encryption key (if any) MUST be taken from the leftmost bits of the keying material and the integrity key (if any) MUST be taken from the remaining bits.
データセキュリティ SA の場合、鍵は [RFC7296] のセクション 2.17 の 3 番目の箇条書きに従って取得されます。特に、ESP および AH SA の場合、暗号化キー (存在する場合) はキーマテリアルの左端のビットから取得しなければならず、完全性キー (存在する場合) は残りのビットから取得しなければなりません (MUST)。
For a Rekey SA, the following keys are taken from the keying material:
Rekey SA の場合、次の鍵が鍵マテリアルから取得されます。
GSK_e | GSK_a | GSK_w = KEYMAT
where GSK_e and GSK_a are the keys used for the Encryption Algorithm and the Integrity Algorithm transforms, respectively, for the corresponding SA and GSK_w is a default KWK for this SA. Note that GSK_w is used with the key wrap algorithm specified in the Key Wrap Algorithm transform. If an AEAD algorithm is used for encryption, then the GSK_a key will not be used (GM can use the formula above assuming the length of GSK_a is zero).
ここで、GSK_e と GSK_a は、対応する SA の暗号化アルゴリズムと整合性アルゴリズム変換にそれぞれ使用される鍵であり、GSK_w はこの SA のデフォルト KWK です。GSK_w は、キー ラップ アルゴリズム変換で指定されたキー ラップ アルゴリズムとともに使用されることに注意してください。AEAD アルゴリズムが暗号化に使用される場合、GSK_a 鍵は使用されません (GM は、GSK_a の長さがゼロであると仮定して上記の式を使用できます)。
The G-IKEv2 is an IKEv2 extension and thus inherits its wire format for data structures. However, the processing of some payloads are different. Several new payloads are defined: Group Identification (IDg) (Section 4.2), Security Association - GM Supported Transforms (SAg) (Section 4.3), Group Security Association (GSA) (Section 4.4), and Key Download (KD) (Section 4.5). The G-IKEv2 header (Section 4.1), IDg payload, and SAg payload reuse the IKEv2 format for the IKEv2 header, IDi/IDr payloads, and SA payload, respectively. New exchange types GSA_AUTH, GSA_REGISTRATION, GSA_REKEY, and GSA_INBAND_REKEY are also added.
G-IKEv2 は IKEv2 拡張機能であるため、データ構造のワイヤ形式を継承します。ただし、一部のペイロードの処理は異なります。いくつかの新しいペイロードが定義されています: グループ識別 (IDg) (セクション 4.2)、セキュリティ アソシエーション - GM サポート変換 (SAg) (セクション 4.3)、グループ セキュリティ アソシエーション (GSA) (セクション 4.4)、キー ダウンロード (KD) (セクション 4.5)。G-IKEv2 ヘッダー (セクション 4.1)、IDg ペイロード、および SAg ペイロードは、それぞれ IKEv2 ヘッダー、IDi/IDr ペイロード、および SA ペイロードの IKEv2 形式を再利用します。新しい交換タイプ GSA_AUTH、GSA_REGISTRATION、GSA_REKEY、および GSA_INBAND_REKEY も追加されました。
This section describes new payloads and the differences in the processing of existing IKEv2 payloads.
このセクションでは、新しいペイロードと既存の IKEv2 ペイロードの処理の違いについて説明します。
G-IKEv2 uses the same IKE header format as specified in Section 3.1 of [RFC7296]. The Major Version is 2 and the Minor Version is 0, as in IKEv2. IKE SA Initiator's SPI, IKE SA Responder's SPI, Flags, Message ID, and Length are as specified in [RFC7296].
G-IKEv2 は、[RFC7296] のセクション 3.1 で指定されているのと同じ IKE ヘッダー形式を使用します。IKEv2 と同様に、メジャー バージョンは 2、マイナー バージョンは 0 です。IKE SA イニシエーターの SPI、IKE SA レスポンダーの SPI、フラグ、メッセージ ID、および長さは [RFC7296] で規定されているとおりです。
The Group Identification (IDg) payload allows the GM to indicate which group it wants to join. The payload is constructed by using the IKEv2 Identification Payload (Section 3.5 of [RFC7296]). ID type ID_KEY_ID MUST be supported. ID types ID_IPV4_ADDR, ID_FQDN, ID_RFC822_ADDR, and ID_IPV6_ADDR SHOULD be supported. ID types ID_DER_ASN1_DN and ID_DER_ASN1_GN are not expected to be used. The Payload Type for the IDg payload is fifty (50).
グループ識別 (IDg) ペイロードを使用すると、GM はどのグループに参加したいかを示すことができます。ペイロードは、IKEv2 識別ペイロード ([RFC7296] のセクション 3.5) を使用して構築されます。ID タイプ ID_KEY_ID がサポートされなければなりません。ID タイプ ID_IPV4_ADDR、ID_FQDN、ID_RFC822_ADDR、および ID_IPV6_ADDR がサポートされるべきです (SHOULD)。ID タイプ ID_DER_ASN1_DN および ID_DER_ASN1_GN は使用されることは想定されていません。IDg ペイロードのペイロード タイプは 50 です。
The Security Association - GM Supported Transforms (SAg) payload declares which Transforms a GM is willing to accept. The payload is constructed using the format of the IKEv2 Security Association payload (Section 3.3 of [RFC7296]). The Payload Type for SAg payloads is thirty-three (33), which is identical to the SA Payload Type.
Security Association - GM Supported Transforms (SAg) ペイロードは、GM がどの Transforms を受け入れるかを宣言します。ペイロードは、IKEv2 Security Association ペイロード ([RFC7296] のセクション 3.3) の形式を使用して構築されます。SAg ペイロードのペイロード タイプは 33 で、SA ペイロード タイプと同じです。
The GSA payload is used by the GCKS to assert security attributes for both Rekey and Data-Security SAs. The Payload Type for the GSA payload is fifty-one (51).
GSA ペイロードは、Rekey SA と Data-Security SA の両方のセキュリティ属性をアサートするために GCKS によって使用されます。GSA ペイロードのペイロード タイプは 51 です。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Next Payload |C| RESERVED | Payload Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ <Group Policies> ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 14: GSA Payload Format
図 14: GSA ペイロード形式
The GSA payload fields are defined as follows:
GSA ペイロード フィールドは次のように定義されます。
Next Payload, C, RESERVED, and Payload Length fields:
次の Payload、C、RESERVED、および Payload Length フィールド:
Comprise the IKEv2 generic payload header and are defined in Section 3.2 of [RFC7296].
IKEv2 汎用ペイロード ヘッダーを構成し、[RFC7296] のセクション 3.2 で定義されています。
Group Policies (variable):
グループ ポリシー (変数):
A set of group policies for the group.
グループのグループ ポリシーのセット。
Group policies are comprised of two types: group SA policy and group-wide (GW) policy. Group SA policy defines parameters for the Security Association of the group. Depending on the employed security protocol, a group SA policy may be either a Rekey SA (GSA KEK) policy or a Data-Security (GSA TEK) SA policy. GSA payload may contain zero or one GSA KEK policy, zero or more GSA TEK policies, and zero or one GW policy, where either one GSA KEK or one GSA TEK policy MUST be present.
グループ ポリシーは、グループ SA ポリシーとグループ全体 (GW) ポリシーの 2 種類で構成されます。グループ SA ポリシーは、グループのセキュリティ アソシエーションのパラメータを定義します。採用されているセキュリティ プロトコルに応じて、グループ SA ポリシーは、キー更新 SA (GSA KEK) ポリシーまたはデータ セキュリティ (GSA TEK) SA ポリシーのいずれかになります。GSA ペイロードには、0 または 1 つの GSA KEK ポリシー、0 または複数の GSA TEK ポリシー、0 または 1 つの GW ポリシーが含まれる場合があり、1 つの GSA KEK または 1 つの GSA TEK ポリシーが存在する必要があります。
This latitude allows various group policies to be accommodated. For example, if the group policy does not require the use of a Rekey SA, the GCKS would not need to send a GSA KEK policy to the group member since all SA updates would be performed using the GSA_INBAND_REKEY exchange via the unicast IKE SA. Alternatively, group policy might use a Rekey SA but choose to download a KEK to the GM only as part of the unicast IKE SA. Therefore, the GSA KEK policy would not be necessary as part of the GSA_REKEY message.
この自由度により、さまざまなグループ ポリシーに対応できます。たとえば、グループ ポリシーがキー再生成 SA の使用を必要としない場合、すべての SA 更新はユニキャスト IKE SA 経由の GSA_INBAND_REKEY 交換を使用して実行されるため、GCKS は GSA KEK ポリシーをグループ メンバーに送信する必要がありません。あるいは、グループ ポリシーはキー再生成 SA を使用しますが、ユニキャスト IKE SA の一部としてのみ KEK を GM にダウンロードすることを選択することもあります。したがって、GSA KEK ポリシーは GSA_REKEY メッセージの一部として必要ありません。
Specifying multiple GSA TEKs allows multiple related data streams (e.g., video, audio, and text) to be associated with a session, but each are protected with an individual Security Association.
複数の GSA TEK を指定すると、複数の関連データ ストリーム (ビデオ、オーディオ、テキストなど) をセッションに関連付けることができますが、それぞれは個別のセキュリティ アソシエーションで保護されます。
A GW policy allows for the distribution of group-wide policy, such as instructions for when to activate and deactivate SAs.
GW ポリシーを使用すると、SA をいつアクティブ化および非アクティブ化するかの指示など、グループ全体のポリシーを配布できます。
Policies are distributed in substructures to the GSA payload. The format of the substructures is defined in Section 4.4.2 (for group SA policy) and in Section 4.4.3 (for GW policy). The first octet of the substructure unambiguously determines its type; it is zero for GW policy and non-zero (actually, it contains a Security Protocol Identifier) for group SA policies.
ポリシーは、GSA ペイロードのサブ構造内に配布されます。サブ構造の形式は、セクション 4.4.2 (グループ SA ポリシーの場合) およびセクション 4.4.3 (GW ポリシーの場合) で定義されています。部分構造の最初のオクテットによって、そのタイプが明確に決まります。GW ポリシーの場合はゼロ、グループ SA ポリシーの場合はゼロ以外 (実際にはセキュリティ プロトコル識別子が含まれます) です。
The group SA policy substructure contains parameters for a single SA that is used with this group. Depending on the security protocol, the SA is either a Rekey SA or a Data-Security SA (ESP and AH). The GCKS MUST NOT distribute both ESP and AH policies for the same set of Traffic Selectors.
グループ SA ポリシーの下部構造には、このグループで使用される単一の SA のパラメータが含まれています。セキュリティ プロトコルに応じて、SA は Rekey SA または Data-Security SA (ESP および AH) のいずれかになります。GCKS は、同じセットのトラフィック セレクターに対して ESP ポリシーと AH ポリシーの両方を配布してはなりません。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Protocol | SPI Size | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ SPI ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ Source Traffic Selector ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ Destination Traffic Selector ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ <Group SA Transforms> ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ <Group SA Attributes> ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 15: Group SA Policy Substructure Format
図 15: グループ SA ポリシーのサブ構造の形式
The group SA policy fields are defined as follows:
グループ SA ポリシーのフィールドは次のように定義されます。
Protocol (1 octet):
プロトコル (1 オクテット):
Identifies the security protocol for this group SA. The values are defined in the "IKEv2 Security Protocol Identifiers" registry in [IKEV2-IANA]. The valid values for this field are 6 (GIKE_UPDATE) for Rekey SA and 2 (AH) or 3 (ESP) for Data-Security SAs.
このグループ SA のセキュリティ プロトコルを識別します。値は、[IKEV2-IANA] の「IKEv2 Security Protocol Identifiers」レジストリで定義されています。このフィールドの有効な値は、Rekey SA の場合は 6 (GIKE_UPDATE)、データ セキュリティ SA の場合は 2 (AH) または 3 (ESP) です。
SPI Size (1 octet):
SPI サイズ (1 オクテット):
Size of the SPI for the SA. SPI size depends on the SA protocol. It is 16 octets for GIKE_UPDATE and 4 octets for AH and ESP.
SA の SPI のサイズ。SPI サイズは SA プロトコルによって異なります。GIKE_UPDATE の場合は 16 オクテット、AH および ESP の場合は 4 オクテットです。
Length (2 octets, unsigned integer):
長さ (2 オクテット、符号なし整数):
Length of this substructure including the header.
ヘッダーを含むこのサブ構造の長さ。
SPI (variable):
SPI (変数):
Security Parameter Index for the group SA. The size of this field is determined by the SPI Size field. As described above, these SPIs are assigned by the GCKS. In the case of GIKE_UPDATE, the SPI is the IKEv2 header SPI pair where the first 8 octets become the "IKE SA Initiator's SPI" field in the G-IKEv2 rekey message IKEv2 HDR, and the second 8 octets become the "IKE SA Responder's SPI" in the same HDR.
グループ SA のセキュリティ パラメータ インデックス。このフィールドのサイズは、SPI サイズ フィールドによって決まります。前述したように、これらの SPI は GCKS によって割り当てられます。GIKE_UPDATE の場合、SPI は IKEv2 ヘッダー SPI ペアで、最初の 8 オクテットが G-IKEv2 キー再生成メッセージ IKEv2 HDR の「IKE SA イニシエーターの SPI」フィールドになり、次の 8 オクテットが同じ HDR の「IKE SA レスポンダーの SPI」になります。
Source & Destination Traffic Selectors (variable):
送信元と宛先のトラフィック セレクター (変数):
Substructures describing the source and destination of the network identities. The format for these substructures is defined in IKEv2 (Section 3.13.1 of [RFC7296]).
ネットワーク ID の送信元と宛先を記述する部分構造。これらの部分構造の形式は IKEv2 ([RFC7296] のセクション 3.13.1) で定義されています。
For the Rekey SA (with the GIKE_UPDATE protocol), the destination traffic selectors MUST define a single multicast IP address, an IP protocol (assumed to be UDP), and a single port the GSA_REKEY messages will be destined to. In this case, the source traffic selector SHOULD define a single IP address, an IP protocol (assumed to be UDP), and a single port the GSA_REKEY messages will be originated from. The source traffic selector MAY define a wildcard IP address and/or wildcard port. For the Data-Security (AH and ESP) SAs, the destination traffic selectors will usually define a single multicast IP address. The source traffic selector in this case will usually define a single IP address or be a wildcard selector. An IP protocol and ports define the characteristics of traffic protected by this Data-Security SA.
Rekey SA (GIKE_UPDATE プロトコルを使用) の場合、宛先トラフィック セレクターは、単一のマルチキャスト IP アドレス、IP プロトコル (UDP と想定)、および GSA_REKEY メッセージの宛先となる単一のポートを定義しなければなりません (MUST)。この場合、送信元トラフィック セレクターは、GSA_REKEY メッセージの発信元となる単一の IP アドレス、IP プロトコル (UDP と想定)、および単一のポートを定義する必要があります (SHOULD)。ソース トラフィック セレクターは、ワイルドカード IP アドレスおよび/またはワイルドカード ポートを定義してもよい(MAY)。データ セキュリティ (AH および ESP) SA の場合、宛先トラフィック セレクターは通常、単一のマルチキャスト IP アドレスを定義します。この場合の送信元トラフィック セレクターは通常、単一の IP アドレスを定義するか、ワイルドカード セレクターになります。IP プロトコルとポートは、このデータ セキュリティ SA によって保護されるトラフィックの特性を定義します。
If the Data-Security SAs are created in tunnel mode, then it MUST be tunnel mode with address preservation (see Multicast Extensions to the Security Architecture [RFC5374]. UDP encapsulation of ESP packets [RFC3948] cannot be specified in G-IKEv2 and thus is not used for the multicast Data-Security SAs.
データ セキュリティ SA がトンネル モードで作成される場合は、アドレス保存付きのトンネル モードでなければなりません (セキュリティ アーキテクチャのマルチキャスト拡張 [RFC5374] を参照)。ESP パケットの UDP カプセル化 [RFC3948] は G-IKEv2 では指定できないため、マルチキャスト データ セキュリティ SA には使用されません。
Group SA Transforms (variable):
グループ SA 変換 (変数):
A list of Transform Substructures specifies the policy information for the SA. The format is defined in IKEv2 (Section 3.3.2 of [RFC7296]). The "Last Substruc" field in each Transform Substructure is set to 3 except for the last Transform Substructure, where it is set to 0. Section 4.4.2.1 describes using IKEv2 transforms in the group SA policy substructure.
変換サブ構造のリストは、SA のポリシー情報を指定します。この形式は IKEv2 ([RFC7296] のセクション 3.3.2) で定義されています。各変換サブ構造の「最後のサブ構造」フィールドは、0 に設定される最後の変換サブ構造を除き、3 に設定されます。セクション 4.4.2.1 では、グループ SA ポリシーのサブ構造での IKEv2 変換の使用について説明します。
Group SA Attributes (variable):
グループ SA 属性 (変数):
Contains policy attributes associated with the group SA. The following sections describe the possible attributes. Any or all attributes may be optional, depending on the protocol and the group policy. Section 4.4.2.2 defines attributes used in the group SA policy substructure.
グループ SA に関連付けられたポリシー属性が含まれます。次のセクションでは、考えられる属性について説明します。プロトコルとグループ ポリシーに応じて、一部またはすべての属性がオプションになる場合があります。セクション 4.4.2.2 では、グループ SA ポリシーの下部構造で使用される属性を定義します。
Group SA policy is defined by the means of transforms in the group SA policy substructure. For this purpose, the transforms defined in [RFC7296] are used. In addition, new Transform Types are defined for use in G-IKEv2: Group Controller Authentication Method (GCAUTH) and Key Wrap Algorithm (KWA); see Section 9.
グループ SA ポリシーは、グループ SA ポリシーの下部構造内の変換によって定義されます。この目的のために、[RFC7296] で定義されている変換が使用されます。さらに、G-IKEv2 で使用するために、グループ コントローラー認証方式 (GCAUTH) とキー ラップ アルゴリズム (KWA) という新しい変換タイプが定義されています。セクション 9 を参照してください。
Valid Transform Types depend on the SA protocol and are summarized in the table below. Exactly one instance of each mandatory Transform Type and at most one instance of each optional Transform Type MUST be present in the group SA policy substructure.
有効な変換タイプは SA プロトコルによって異なり、以下の表にまとめられています。グループ SA ポリシーの下部構造には、必須の各変換タイプのインスタンスが 1 つだけ、およびオプションの各変換タイプのインスタンスが 1 つだけ存在しなければなりません (MUST)。
+=============+=============================+================+
| Protocol | Mandatory Types | Optional Types |
+=============+=============================+================+
| GIKE_UPDATE | ENCR, INTEG*, GCAUTH**, KWA | |
+-------------+-----------------------------+----------------+
| ESP | ENCR, SN | INTEG |
+-------------+-----------------------------+----------------+
| AH | INTEG, SN | |
+-------------+-----------------------------+----------------+
Table 2: Valid Transform Types
表 2: 有効な変換タイプ
Notes:
注:
(*):
(*):
If the AEAD encryption algorithm is used, then INTEG transform either MUST NOT be specified or MUST contain value NONE; otherwise, it MUST be specified and MUST contain a value other than NONE.
AEAD 暗号化アルゴリズムが使用される場合は、INTEG 変換を指定しないか、値 NONE を含める必要があります。それ以外の場合は、指定する必要があり、NONE 以外の値を含める必要があります。
(**):
(**):
May only appear at the time of a GM registration (in the GSA_AUTH and GSA_REGISTRATION exchanges).
GM 登録時 (GSA_AUTH および GSA_REGISTRATION 交換) にのみ表示される場合があります。
The Group Controller Authentication Method (GCAUTH) transform is used to convey information on how the GCKS will authenticate the GSA_REKEY messages.
Group Controller Authentication Method (GCAUTH) 変換は、GCKS が GSA_REKEY メッセージを認証する方法に関する情報を伝達するために使用されます。
This document creates a new IKEv2 IANA registry for Transform IDs of this Transform Type, which has been initially populated as described in Section 9. In particular, the following entries have been added:
このドキュメントでは、この変換タイプの変換 ID 用に新しい IKEv2 IANA レジストリを作成します。このレジストリは、セクション 9 で説明されているように最初に設定されています。特に、次のエントリが追加されています。
+=======+========================================+
| Value | Group Controller Authentication Method |
+=======+========================================+
| 0 | Reserved |
+-------+----------------------------------------+
| 1 | Implicit |
+-------+----------------------------------------+
| 2 | Digital Signature |
+-------+----------------------------------------+
Table 3: Group Controller Authentication Method Transform IDs
表 3: グループ コントローラーの認証方法の変換 ID
These Transform IDs are defined as follows:
これらの変換 ID は次のように定義されます。
Implicit:
暗黙:
No authentication of the GSA_REKEY messages will be provided by the GCKS besides the ability for the GMs to correctly decrypt them and verify their ICV. In this case, the GCKS MUST NOT include the AUTH_KEY attribute into the KD payload. Additionally, the AUTH payload MUST NOT be included in the GIKE_UPDATE messages.
GSA_REKEY メッセージの認証は、GM がメッセージを正しく復号化して ICV を検証する機能以外に、GCKS によって提供されません。この場合、GCKS は KD ペイロードに AUTH_KEY 属性を含めてはなりません (MUST NOT)。さらに、AUTH ペイロードを GIKE_UPDATE メッセージに含めてはなりません (MUST NOT)。
Digital Signature
デジタル署名
Digital signatures will be used by the GCKS to authenticate the GSA_REKEY messages. In this case, the GCKS MUST include the AUTH_KEY attribute containing the public key into the KD payload at the time the GM is registered to the group. To specify the details of the signature algorithm, a new attribute Signature Algorithm Identifier (value 18) is defined. This attribute contains DER-encoded ASN.1 object AlgorithmIdentifier, which specifies the signature algorithm and the hash function that the GCKS will use for authentication. The AlgorithmIdentifier object is defined in Section 4.1.1.2 of [RFC5280]. Also, see [RFC7427] for the list of common AlgorithmIdentifier values used in IKEv2.
デジタル署名は、GSA_REKEY メッセージを認証するために GCKS によって使用されます。この場合、GCKS は、GM がグループに登録されるときに、公開鍵を含む AUTH_KEY 属性を KD ペイロードに含めなければなりません (MUST)。署名アルゴリズムの詳細を指定するために、新しい属性署名アルゴリズム識別子 (値 18) が定義されます。この属性には、DER でエンコードされた ASN.1 オブジェクト AlgorithmIdentifier が含まれており、GCKS が認証に使用する署名アルゴリズムとハッシュ関数を指定します。AlgorithmIdentifier オブジェクトは [RFC5280] のセクション 4.1.1.2 で定義されています。また、IKEv2 で使用される一般的な AlgorithmIdentifier 値のリストについては、[RFC7427] を参照してください。
In the case of the Digital Signature Transform ID, the GCKS MUST include the Signature Algorithm Identifier attribute in the Group Controller Authentication Method transform. In this case, the AUTH payload in the GIKE_UPDATE messages MUST contain the Digital Signature authentication method (value 14) and be formatted as defined in Section 3 of [RFC7427]. The AlgorithmIdentifier ASN.1 object in the AUTH payload MUST match the content of the Signature Algorithm Identifier attribute in the Group Controller Authentication Method transform. The Signature Algorithm Identifier attribute is only meaningful for the Digital Signature Transform ID and MUST NOT be used with other Transform IDs.
デジタル署名変換 ID の場合、GCKS はグループ コントローラー認証方法変換に署名アルゴリズム識別子属性を含めなければなりません (MUST)。この場合、GIKE_UPDATE メッセージの AUTH ペイロードにはデジタル署名認証方法 (値 14) が含まれ、[RFC7427] のセクション 3 で定義されているようにフォーマットされなければなりません (MUST)。AUTH ペイロード内の AlgorithmIdentifier ASN.1 オブジェクトは、グループ コントローラー認証方法トランスフォーム内の署名アルゴリズム識別子属性の内容と一致しなければなりません (MUST)。署名アルゴリズム識別子属性は、デジタル署名変換 ID に対してのみ意味があり、他の変換 ID と一緒に使用してはなりません。
More authentication methods may be defined in the future.
将来的にはさらに多くの認証方法が定義される可能性があります。
The authentication method MUST NOT change as a result of rekey operations. This means that the Group Controller Authentication Method transform MUST NOT appear in the rekey messages; it may only appear in the registration exchange (either GSA_AUTH or GSA_REGISTRATION).
認証方法は、キー再生成操作の結果として変更してはなりません。これは、グループ コントローラー認証方法変換をキー再生成メッセージに含めてはいけないことを意味します。登録交換 (GSA_AUTH または GSA_REGISTRATION) でのみ表示される場合があります。
The type of the Group Controller Authentication Method transform is 14.
グループ コントローラー認証方法トランスフォームのタイプは 14 です。
The Key Wrap Algorithm (KWA) transform is used to convey information about an algorithm that is used for key wrapping in G-IKEv2. See Section 4.5.4 for details.
キー ラップ アルゴリズム (KWA) 変換は、G-IKEv2 のキー ラッピングに使用されるアルゴリズムに関する情報を伝達するために使用されます。詳細については、セクション 4.5.4 を参照してください。
This document creates a new IKEv2 IANA registry for the key wrap algorithms, which has been initially populated as described in Section 9. In particular, the following entries have been added:
この文書では、キー ラップ アルゴリズム用の新しい IKEv2 IANA レジストリを作成します。このレジストリは、セクション 9 で説明されているように最初に設定されています。特に、次のエントリが追加されています。
+=======+====================+
| Value | Key Wrap Algorithm |
+=======+====================+
| 0 | Reserved |
+-------+--------------------+
| 1 | KW_5649_128 |
+-------+--------------------+
| 2 | KW_5649_192 |
+-------+--------------------+
| 3 | KW_5649_256 |
+-------+--------------------+
| 4 | KW_ARX |
+-------+--------------------+
Table 4: Key Wrap Algorithm Transform IDs
表 4: キー ラップ アルゴリズムの変換 ID
These algorithms are defined as follows:
これらのアルゴリズムは次のように定義されます。
KW_5649_128, KW_5649_192, KW_5649_256:
KW_5649_128、KW_5649_192、KW_5649_256:
The key wrap algorithm defined in [RFC5649] with a 128-bit, 192-bit, and 256-bit key, respectively. This key wrap algorithm is designed for use with AES block cipher.
[RFC5649] で定義されているキー ラップ アルゴリズム。それぞれ 128 ビット、192 ビット、256 ビットのキーを使用します。このキー ラップ アルゴリズムは、AES ブロック暗号で使用するように設計されています。
KW_ARX:
KW_ARX:
The ARX-KW-8-2-4-GX key wrap algorithm defined in [ARX-KW]. This key wrap algorithm is designed for use with Chacha20 stream cipher.
[ARX-KW] で定義されている ARX-KW-8-2-4-GX キー ラップ アルゴリズム。このキー ラップ アルゴリズムは、Chacha20 ストリーム暗号で使用するように設計されています。
More key wrap algorithms may be defined in the future. The requirement is that these algorithms must be able to wrap key material of size up to 256 bytes.
将来的には、さらに多くのキー ラップ アルゴリズムが定義される可能性があります。要件は、これらのアルゴリズムが最大 256 バイトのサイズのキー素材をラップできる必要があることです。
The type of the Key Wrap Algorithm transform is 13.
キー ラップ アルゴリズム変換のタイプは 13 です。
The Sequence Numbers (SNs) Transform Type is defined in [RFC9827]. This transform describes the properties of sequence numbers of IPsec packets. There are currently two Transform IDs defined for this Transform Type: "32-bit Sequential Numbers" and "Partially Transmitted 64-bit Sequential Numbers" that correspond to non-ESN and ESN cases from AH [RFC4302] and ESP [RFC4303] specifications.
シーケンス番号 (SN) 変換タイプは [RFC9827] で定義されています。この変換は、IPsec パケットのシーケンス番号のプロパティを記述します。現在、この変換タイプには 2 つの変換 ID が定義されています。「32 ビット連続番号」と「部分的に送信された 64 ビット連続番号」です。これらは、AH [RFC4302] および ESP [RFC4303] 仕様の非 ESN および ESN ケースに対応します。
Transform ID "32-bit Sequential Numbers" SHOULD be used by the GCKS for single-sender multicast Data-Security SAs utilizing protocols ESP or AH.
変換 ID「32 ビット連続番号」は、プロトコル ESP または AH を利用する単一送信者のマルチキャスト データ セキュリティ SA の GCKS によって使用されるべきです(SHOULD)。
Since both AH [RFC4302] and ESP [RFC4303] are defined in such a way that high-order 32 bits of extended sequence numbers are never transmitted, it makes using ESN in multicast Data-Security SAs problematic because GMs that join the group long after it is created will have to somehow learn the current high-order 32 bits of ESN for each sender in the group. The algorithm for doing this described in AH [RFC4302] and ESP [RFC4303] is resource-consuming and is only suitable when a receiver is able to guess the high-order 32 bits close enough to its real value, which is not the case for multicast SAs. For this reason, the "Partially Transmitted 64-bit Sequential Numbers" Transform ID MUST NOT be used for multicast Data-Security SAs utilizing protocols ESP or AH.
AH [RFC4302] と ESP [RFC4303] は両方とも、拡張シーケンス番号の上位 32 ビットが決して送信されないように定義されているため、マルチキャスト データ セキュリティ SA での ESN の使用には問題が生じます。グループが作成されてからかなり経ってからグループに参加する GM は、グループ内の各送信者の現在の上位 32 ビットの ESN を何らかの方法で学習する必要があるからです。AH [RFC4302] および ESP [RFC4303] で説明されているこれを行うアルゴリズムはリソースを消費し、受信機が実際の値に十分近い上位 32 ビットを推測できる場合にのみ適していますが、マルチキャスト SA の場合は当てはまりません。このため、「部分的に送信された 64 ビット連続番号」変換 ID は、プロトコル ESP または AH を利用するマルチキャスト データ セキュリティ SA に使用してはなりません (MUST NOT)。
This document defines a new Transform ID for this Transform Type: "32-bit Unspecified Numbers" (2). This Transform ID defines the following properties:
このドキュメントでは、この変換タイプ「32 ビット未指定数」(2) の新しい変換 ID を定義します。この変換 ID は次のプロパティを定義します。
* Sequence numbers are 32 bits in size and are transmitted in the Sequence Number field of AH and ESP packets.
* シーケンス番号のサイズは 32 ビットで、AH および ESP パケットのシーケンス番号フィールドで送信されます。
* The value of sequence numbers is not guaranteed to be unique for the duration of an SA, thus they are not suitable for replay protection.
* シーケンス番号の値は SA の期間中一意であることが保証されていないため、リプレイ保護には適していません。
This Transform ID MUST be used by the GCKS in case of multi-sender multicast Data-Security SAs utilizing protocols ESP or AH to inform the GMs that the replay protection is not expected to be possible. The GCKS MAY also use this Transform ID for single-sender multicast Data-Security SAs if replay protection is not needed (e.g., it is done on the application level).
この変換 ID は、プロトコル ESP または AH を利用するマルチ送信者マルチキャスト データ セキュリティ SA の場合に、リプレイ保護が可能ではないと予想されることを GM に通知するために GCKS によって使用されなければなりません (MUST)。GCKS は、リプレイ保護が必要ない場合 (例: アプリケーション レベルで行われる場合)、単一送信者のマルチキャスト データ セキュリティ SA にこの変換 ID を使用してもよい(MAY)。
Group SA attributes are generally used to provide GMs with additional parameters for the group SA policy. Unlike security parameters distributed via transforms, which are expected not to change over time (unless the policy changes), the parameters distributed via group SA attributes may depend on the time the provision takes place, on the existence of other group SAs, or on other conditions.
グループ SA 属性は通常、GM にグループ SA ポリシーの追加パラメータを提供するために使用されます。(ポリシーが変更されない限り) 時間の経過とともに変化しないことが期待される、変換を介して配布されるセキュリティ パラメータとは異なり、グループ SA 属性を介して配布されるパラメータは、プロビジョニングが行われる時間、他のグループ SA の存在、またはその他の条件に依存する可能性があります。
This document creates a new IKEv2 IANA registry for the types of group SA attributes, which has been initially populated as described in Section 9. In particular, the following attributes have been added:
この文書では、グループ SA 属性のタイプに対応する新しい IKEv2 IANA レジストリを作成します。このレジストリは、セクション 9 で説明されているように最初に設定されています。特に、次の属性が追加されています。
+=====+========================+======+============+==============+
|Value| Group SA Attributes |Format|Multi-Valued| Used in |
| | | | | Protocol |
+=====+========================+======+============+==============+
|0 | Reserved | |
+-----+------------------------+------+------------+--------------+
|1 | GSA_KEY_LIFETIME |TLV |NO | GIKE_UPDATE, |
| | | | | AH, ESP |
+-----+------------------------+------+------------+--------------+
|2 | GSA_INITIAL_MESSAGE_ID |TLV |NO | GIKE_UPDATE |
+-----+------------------------+------+------------+--------------+
|3 | GSA_NEXT_SPI |TLV |YES | GIKE_UPDATE, |
| | | | | AH, ESP |
+-----+------------------------+------+------------+--------------+
Table 5: Group SA Attributes
表 5: グループ SA の属性
The attributes follow the format defined in IKEv2 (Section 3.3.5 of [RFC7296]). The "Format" column defines what attribute format is allowed: Type/Length/Value (TLV) or Type/Value (TV). The "Multi-Valued" column defines whether multiple instances of the attribute can appear. The "Used in Protocol" column lists the security protocols, for which the attribute can be used.
属性は、IKEv2 ([RFC7296] のセクション 3.3.5) で定義された形式に従います。「形式」列は、どの属性形式が許可されるかを定義します: タイプ/長さ/値 (TLV) またはタイプ/値 (TV)。「複数値」列は、属性の複数のインスタンスを表示できるかどうかを定義します。[プロトコルで使用] 列には、属性を使用できるセキュリティ プロトコルがリストされます。
The GSA_KEY_LIFETIME attribute (1) specifies the maximum time for which the SA is valid. The value is a 4-octet unsigned integer in network byte order, specifying a valid time period in seconds. When the lifetime expires, the group SA and all associated keys MUST be deleted. The GCKS may delete the SA at any time before the end of the validity period.
GSA_KEY_LIFETIME 属性 (1) は、SA が有効な最大時間を指定します。値はネットワーク バイト オーダーの 4 オクテットの符号なし整数で、有効期間を秒単位で指定します。有効期間が切れたら、グループ SA とすべての関連キーを削除しなければなりません (MUST)。GCKS は、有効期間が終了する前であればいつでも SA を削除できます。
A single attribute of this type MUST be included into any group SA policy substructure if multicast rekey is employed by the GCKS. This attribute SHOULD NOT be used if inband rekey (via the GSA_INBAND_REKEY exchange) is employed by the GCKS for the GM.
GCKS でマルチキャスト キー再生成が使用される場合、このタイプの単一の属性をグループ SA ポリシーの下部構造に含める必要があります。インバンドキー再生成 (GSA_INBAND_REKEY 交換経由) が GM の GCKS によって使用される場合、この属性は使用すべきではありません (SHOULD NOT)。
The GSA_INITIAL_MESSAGE_ID attribute (2) defines the initial Message ID to be used by the GCKS in the GSA_REKEY messages. The Message ID is a 4-octet unsigned integer in network byte order.
GSA_INITIAL_MESSAGE_ID 属性 (2) は、GSA_REKEY メッセージで GCKS によって使用される初期メッセージ ID を定義します。メッセージ ID は、ネットワーク バイト オーダーの 4 オクテットの符号なし整数です。
A single attribute of this type is included into the GSA KEK policy substructure if the initial Message ID of the Rekey SA is non-zero. Note that it is always true if a GM joins the group after some multicast rekey operations have already taken place in this group. In this case, this attribute will be included into the group SA policy when the GM is registered.
Rekey SA の初期メッセージ ID がゼロ以外の場合、このタイプの単一の属性が GSA KEK ポリシーの下部構造に組み込まれます。いくつかのマルチキャストキー再生成操作がこのグループ内ですでに行われた後に GM がグループに参加する場合、これは常に true であることに注意してください。この場合、この属性は GM の登録時にグループ SA ポリシーに組み込まれます。
This attribute MUST NOT be used if inband rekey (via the GSA_INBAND_REKEY exchange) is employed by the GCKS for the GM.
インバンドキー再生成 (GSA_INBAND_REKEY 交換経由) が GM の GCKS によって使用される場合、この属性は使用してはなりません (MUST NOT)。
The optional GSA_NEXT_SPI attribute (3) contains the SPI that the GCKS reserved for the next Rekey SA or Data-Security SAs replacing the current ones. The length of the attribute data is determined by the SPI Size field in the group SA policy substructure the attribute resides in (see Section 4.4.2), and the attribute data contains the SPI as it would appear on the network. Multiple attributes of this type MAY be included, meaning that any of the supplied SPIs can be used in the replacement group SA.
オプションの GSA_NEXT_SPI 属性 (3) には、現在の SA に代わる次の Rekey SA または Data-Security SA 用に GCKS が予約した SPI が含まれます。属性データの長さは、属性が存在するグループ SA ポリシーのサブ構造の SPI サイズ フィールドによって決定され (セクション 4.4.2 を参照)、属性データにはネットワーク上に表示される SPI が含まれます。このタイプの複数の属性を含めることができます (MAY)。これは、提供された SPI のいずれも置換グループ SA で使用できることを意味します。
The GM MAY store these values. Later on, if the GM starts receiving messages with one of these SPIs without seeing a rekey message over the current Rekey SA, then it may be used as an indication that the rekey message got lost on its way to this GM. In this case, the GM SHOULD re-register to the group.
GM はこれらの値を保存してもよい (MAY)。その後、GM が現在のキー更新 SA を介してキー更新メッセージを確認せずにこれらの SPI のいずれかを使用してメッセージの受信を開始した場合、それはキー更新メッセージがこの GM に向かう途中で失われたことを示すものとして使用される可能性があります。この場合、GM はグループに再登録する必要があります。
Note that this method of detecting lost rekey messages can only be used by group receivers. Additionally, there is no point to include this attribute in the GSA_INBAND_REKEY messages since they use reliable transport. Also note that the GCKS is free to forget its promises and not to use the SPIs it sent in the GSA_NEXT_SPI attributes before (e.g., in cases where the GCKS is rebooted), so the GM must only treat this information as a "best effort" made by the GCKS to prepare for future rekeys.
紛失したキー再生成メッセージを検出するこの方法は、グループ受信者のみが使用できることに注意してください。さらに、GSA_INBAND_REKEY メッセージは信頼性の高いトランスポートを使用するため、この属性をメッセージに含める意味がありません。また、GCKS はその約束を忘れたり、以前に GSA_NEXT_SPI 属性で送信した SPI を使用しなかったりすることが自由であるため (GCKS が再起動された場合など)、GM はこの情報を将来のキー再生成に備えるために GCKS によって行われた「ベスト エフォート」としてのみ扱う必要があることに注意してください。
This attribute MUST NOT be used if inband rekey (via the GSA_INBAND_REKEY exchange) is employed by the GCKS for the GM.
インバンドキー再生成 (GSA_INBAND_REKEY 交換経由) が GM の GCKS によって使用される場合、この属性は使用してはなりません (MUST NOT)。
Group-specific policy that does not belong to any SA policy can be distributed to all GMs using the GW policy substructure.
どの SA ポリシーにも属さないグループ固有のポリシーは、GW ポリシーのサブ構造を使用してすべての GM に配布できます。
The GW policy substructure is defined as follows:
GW ポリシーの下部構造は次のように定義されます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Protocol | RESERVED | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ <GW Policy Attributes> ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 16: GW Policy Substructure Format
図 16: GW ポリシーの下部構造の形式
The GW policy substructure fields are defined as follows:
GW ポリシーの下部構造フィールドは次のように定義されます。
Protocol (1 octet):
プロトコル (1 オクテット):
MUST be zero. This value is reserved (see Section 9) and is never used for any security protocol, so it is used here to indicate that this substructure contains policy not related to any specific protocol.
ゼロでなければなりません。この値は予約されており (セクション 9 を参照)、セキュリティ プロトコルには決して使用されないため、ここでは、この下部構造に特定のプロトコルに関連しないポリシーが含まれていることを示すために使用されます。
RESERVED (1 octet):
予約済み (1 オクテット):
MUST be zero on transmission and MUST be ignored on receipt.
送信時にはゼロでなければならず、受信時には無視されなければなりません。
Length (2 octets, unsigned integer):
長さ (2 オクテット、符号なし整数):
Length of this substructure including the header.
ヘッダーを含むこのサブ構造の長さ。
GW Policy Attributes (variable):
GW ポリシー属性 (変数):
Contains policy attributes associated with no specific SA. The following sections describe possible attributes. Any or all attributes may be optional depending on the group policy.
特定の SA に関連付けられていないポリシー属性が含まれます。次のセクションでは、考えられる属性について説明します。グループ ポリシーに応じて、一部またはすべての属性がオプションになる場合があります。
This document creates a new IKEv2 IANA registry for the types of group-wide policy attributes, which has been initially populated as described in Section 9. In particular, the following attributes have been added:
この文書では、グループ全体のポリシー属性のタイプに対応する新しい IKEv2 IANA レジストリを作成します。このレジストリは、セクション 9 で説明されているように最初に設定されています。特に、次の属性が追加されています。
+=======+======================+========+==============+
| Value | GW Policy Attributes | Format | Multi-Valued |
+=======+======================+========+==============+
| 0 | Reserved | |
+-------+----------------------+--------+--------------+
| 1 | GWP_ATD | TV | NO |
+-------+----------------------+--------+--------------+
| 2 | GWP_DTD | TV | NO |
+-------+----------------------+--------+--------------+
| 3 | GWP_SENDER_ID_BITS | TV | NO |
+-------+----------------------+--------+--------------+
Table 6: GW Policy Attributes
表 6: GW ポリシーの属性
The attributes follow the format defined in the IKEv2 (Section 3.3.5 of [RFC7296]). The "Format" column defines what attribute format is allowed: Type/Length/Value (TLV) or Type/Value (TV). The "Multi-Valued" column defines whether multiple instances of the attribute can appear.
属性は、IKEv2 ([RFC7296] のセクション 3.3.5) で定義された形式に従います。「形式」列は、どの属性形式が許可されるかを定義します: タイプ/長さ/値 (TLV) またはタイプ/値 (TV)。「複数値」列は、属性の複数のインスタンスを表示できるかどうかを定義します。
Section 4.2.1 of [RFC5374] specifies a key rollover method that requires two values be provided to GMs: Activation Time Delay (ATD) and Deactivation Time Delay (DTD).
[RFC5374] のセクション 4.2.1 では、アクティベーション時間遅延 (ATD) と非アクティベーション時間遅延 (DTD) という 2 つの値を GM に提供する必要があるキー ロールオーバー方法を指定しています。
The GWP_ATD attribute (1) allows a GCKS to set the Activation Time Delay for Data-Security SAs of the group. The ATD defines how long active members of the group (those who sends traffic) should wait after receiving new SAs before sending traffic over them. Note that to achieve smooth rollover, passive members of the group should activate the SAs immediately once they receive them.
GWP_ATD 属性 (1) により、GCKS はグループのデータ セキュリティ SA のアクティブ化時間遅延を設定できます。ATD は、グループのアクティブなメンバー (トラフィックを送信するメンバー) が、新しい SA を受信してからトラフィックを送信するまで待機する時間を定義します。スムーズなロールオーバーを実現するには、グループのパッシブ メンバーが SA を受信したらすぐにアクティブ化する必要があることに注意してください。
The GWP_DTD attribute (2) allows the GCKS to set the DTD for previously distributed SAs. The DTD defines how long after receiving a request to delete Data-Security SAs passive GMs should wait before actually deleting them. Note that active members of the group should stop sending traffic over these old SAs once new replacement SAs are activated (after time specified in the GWP_ATD attribute).
GWP_DTD 属性 (2) により、GCKS は以前に配布された SA の DTD を設定できます。DTD は、データ セキュリティ SA の削除リクエストを受信した後、パッシブ GM がデータ セキュリティ SA を実際に削除するまで待機する時間を定義します。新しい代替 SA がアクティブ化されると (GWP_ATD 属性で指定された時間が経過した後)、グループのアクティブなメンバーはこれらの古い SA を介したトラフィックの送信を停止する必要があることに注意してください。
The GWP_ATD and GWP_DTD attributes contain a 16-bit unsigned integer in network byte order, specifying the delay in seconds. These attributes are OPTIONAL. If one of them or both are not sent by the GCKS, then no corresponding delay should be employed.
GWP_ATD 属性と GWP_DTD 属性には、ネットワーク バイト オーダーの 16 ビットの符号なし整数が含まれており、遅延を秒単位で指定します。これらの属性はオプションです。それらの一方または両方が GCKS によって送信されない場合は、対応する遅延を使用する必要はありません。
The GWP_SENDER_ID_BITS attribute (3) declares how many bits of the cipher nonce are taken to represent a Sender-ID value. The bits are applied as the most significant bits of the IV, as shown in Figure 1 of Using Counter Modes with ESP and AH to Protect Group Traffic [RFC6054] and as specified in Section 2.5.2. Guidance for a GCKS choosing the value is provided in Section 3 of [RFC6054]. This value is applied to each Sender-ID value distributed in the KD payload.
GWP_SENDER_ID_BITS 属性 (3) は、Sender-ID 値を表すために何ビットの暗号ノンスが使用されるかを宣言します。これらのビットは、グループ トラフィックを保護するための ESP および AH でのカウンタ モードの使用 [RFC6054] の図 1 に示されているように、またセクション 2.5.2 で指定されているように、IV の最上位ビットとして適用されます。GCKS が値を選択するためのガイダンスは、[RFC6054] のセクション 3 に記載されています。この値は、KD ペイロードで配布される各 Sender-ID 値に適用されます。
The GCKS MUST include this attribute if there are more than one senders in the group and any of the Data-Security SAs use counter-based cipher mode. The number of Sender-ID bits is represented as a 16-bit unsigned integer in network byte order.
グループ内に複数の送信者が存在し、データ セキュリティ SA のいずれかがカウンタベースの暗号モードを使用する場合、GCKS にはこの属性が含まれなければなりません (MUST)。Sender-ID ビット数は、ネットワーク バイト オーダーの 16 ビットの符号なし整数として表されます。
The Key Download (KD) payload contains the group keys for the SAs specified in the GSA payload. The Payload Type for the Key Download payload is fifty-two (52).
キー ダウンロード (KD) ペイロードには、GSA ペイロードで指定された SA のグループ キーが含まれています。キー ダウンロード ペイロードのペイロード タイプは 52 です。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Next Payload |C| RESERVED | Payload Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ <Key Bags> ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 17: Key Download Payload Format
図 17: キー ダウンロード ペイロードの形式
The Key Download payload fields are defined as follows:
キー ダウンロード ペイロード フィールドは次のように定義されます。
Next Payload, C, RESERVED, and Payload Length fields:
次の Payload、C、RESERVED、および Payload Length フィールド:
Comprise the IKEv2 generic payload header and are defined in Section 3.2 of [RFC7296].
IKEv2 汎用ペイロード ヘッダーを構成し、[RFC7296] のセクション 3.2 で定義されています。
Key Bags (variable):
キーバッグ (可変):
A set of key bag substructures.
キーバッグの基礎構造のセット。
Keys are distributed in substructures called key bags. Each key bag contains one or more keys that are logically related -- these are keys for either a single SA (Data-Security SA or Rekey SA) or a single GM (in the latter case, besides keys, the key bag may also contain security parameters for this GM).
キーはキーバッグと呼ばれる下部構造に分散されます。各キー バッグには、論理的に関連する 1 つ以上のキーが含まれます。これらは、単一の SA (Data-Security SA または Rekey SA) または単一の GM のキーです (後者の場合、キーに加えて、キー バッグにはこの GM のセキュリティ パラメーターも含まれる場合があります)。
For this reason, two types of key bags are defined: Group Key Bag and Member Key Bag. The type is unambiguously determined by the first byte of the key bag substructure; for a Member Key Bag, it is zero and for a Group Key Bag, it contains a Security Protocol Identifier, which is always non-zero. For a Group Key Bag, the Protocol along with the SPI (see Figure 18) identify the SA that is associated with the keys in this bag.
このため、グループ キー バッグとメンバー キー バッグの 2 種類のキー バッグが定義されています。タイプは、キー バッグのサブ構造の最初のバイトによって明確に決定されます。メンバー キー バッグの場合、これはゼロであり、グループ キー バッグの場合、常にゼロ以外のセキュリティ プロトコル識別子が含まれます。グループ キー バッグの場合、プロトコルと SPI (図 18 を参照) は、このバッグ内のキーに関連付けられている SA を識別します。
The Group Key Bag substructure contains SA key information. This key information is associated with some group SAs: either with Data-Security SAs or with a group Rekey SA.
グループ キー バッグのサブ構造には、SA キー情報が含まれています。この鍵情報は、いくつかのグループ SA (Data-Security SA またはグループ Rekey SA のいずれか) に関連付けられます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Protocol | SPI Size | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ SPI ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ <Group Key Bag Attributes> ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 18: Group Key Bag Substructure Format
図 18: グループ キー バッグのサブ構造形式
Protocol (1 octet):
プロトコル (1 オクテット):
Identifies the security protocol for this key bag. The values are defined in the "IKEv2 Security Protocol Identifiers" registry in [IKEV2-IANA]. The valid values for this field are: 6 (GIKE_UPDATE) for KEK Key packet and 2 (AH) or 3 (ESP) for TEK key bag.
このキーバッグのセキュリティプロトコルを識別します。値は、[IKEV2-IANA] の「IKEv2 Security Protocol Identifiers」レジストリで定義されています。このフィールドの有効な値は、KEK キー パケットの場合は 6 (GIKE_UPDATE)、TEK キー バッグの場合は 2 (AH) または 3 (ESP) です。
SPI Size (1 octet):
SPI サイズ (1 オクテット):
Size of the SPI for the corresponding SA. SPI size depends on the security protocol. It is 16 octets for GIKE_UPDATE and 4 octets for AH and ESP.
対応する SA の SPI のサイズ。SPI サイズはセキュリティ プロトコルによって異なります。GIKE_UPDATE の場合は 16 オクテット、AH および ESP の場合は 4 オクテットです。
Length (2 octets, unsigned integer):
長さ (2 オクテット、符号なし整数):
Length of this substructure including the header.
ヘッダーを含むこのサブ構造の長さ。
SPI (variable):
SPI (変数):
Security Parameter Index for the corresponding SA. The size of this field is determined by the SPI Size field. In the case of GIKE_UPDATE, the SPI is the IKEv2 header SPI pair where the first 8 octets become the "IKE SA Initiator's SPI" field in the G-IKEv2 rekey message IKEv2 HDR, and the second 8 octets become the "IKE SA Responder's SPI" in the same HDR.
対応する SA のセキュリティ パラメータ インデックス。このフィールドのサイズは、SPI サイズ フィールドによって決まります。GIKE_UPDATE の場合、SPI は IKEv2 ヘッダー SPI ペアで、最初の 8 オクテットが G-IKEv2 キー再生成メッセージ IKEv2 HDR の「IKE SA イニシエーターの SPI」フィールドになり、次の 8 オクテットが同じ HDR の「IKE SA レスポンダーの SPI」になります。
Group Key Bag Attributes (variable):
グループキーバッグの属性 (変数):
Contains key information for the corresponding SA.
対応する SA のキー情報が含まれます。
This document creates a new IKEv2 IANA registry for the types of Group Key Bag attributes, which has been initially populated as described in Section 9. In particular, the following attributes have been added:
この文書では、グループ キー バッグ属性のタイプに対応する新しい IKEv2 IANA レジストリを作成します。このレジストリは、セクション 9 で説明されているように最初に設定されています。特に、次の属性が追加されています。
+=======+===============+========+==============+=============+
| Value | Group Key Bag | Format | Multi-Valued | Used in |
| | Attributes | | | Protocol |
+=======+===============+========+==============+=============+
| 0 | Reserved | |
+-------+---------------+--------+--------------+-------------+
| 1 | SA_KEY | TLV | YES* | GIKE_UPDATE |
| | | | NO | AH, ESP |
+-------+---------------+--------+--------------+-------------+
Table 7: Group Key Bag Attributes
表 7: グループ キー バッグの属性
Notes:
注:
(*):
(*):
Multiple SA_KEY attributes may only appear for the GIKE_UPDATE protocol in the GSA_REKEY pseudo-exchange if the GCKS uses the group key management method that allows excluding GMs from the group (like LKH).
GCKS がグループから GM を除外できるグループ鍵管理方法 (LKH など) を使用している場合、複数の SA_KEY 属性は、GSA_REKEY 擬似交換の GIKE_UPDATE プロトコルに対してのみ表示されることがあります。
The attributes follow the format defined in IKEv2 (Section 3.3.5 of [RFC7296]). The "Format" column defines what attribute format is allowed: Type/Length/Value (TLV) or Type/Value (TV). The "Multi-Valued" column defines whether multiple instances of the attribute can appear. The "Used in Protocol" column lists the security protocols, for which the attribute can be used.
属性は、IKEv2 ([RFC7296] のセクション 3.3.5) で定義された形式に従います。「形式」列は、どの属性形式が許可されるかを定義します: タイプ/長さ/値 (TLV) またはタイプ/値 (TV)。「複数値」列は、属性の複数のインスタンスを表示できるかどうかを定義します。[プロトコルで使用] 列には、属性を使用できるセキュリティ プロトコルがリストされます。
The SA_KEY attribute (1) contains a keying material for the corresponding SA. The content of the attribute is formatted according to Section 4.5.4 with a precondition that the Key ID field MUST always be zero. The size of the keying material MUST be equal to the total size of the keys needed to be taken from this keying material (see Section 3.4) for the corresponding SA.
SA_KEY 属性 (1) には、対応する SA の鍵情報が含まれます。属性の内容は、キー ID フィールドが常にゼロでなければならないという前提条件を備えたセクション 4.5.4 に従ってフォーマットされます。鍵マテリアルのサイズは、対応する SA のこの鍵マテリアル (セクション 3.4 を参照) から取得する必要がある鍵の合計サイズと等しくなければなりません (MUST)。
If the key bag is for a Data-Security SA (AH or ESP protocols), then exactly one SA_KEY attribute MUST be present with both Key ID and KWK ID fields set to zero.
キー バッグがデータ セキュリティ SA (AH または ESP プロトコル) 用である場合、キー ID フィールドと KWK ID フィールドの両方がゼロに設定された SA_KEY 属性が 1 つだけ存在する必要があります。
If the key bag is for a Rekey SA (GIKE_UPDATE protocol), then exactly one SA_KEY attribute MUST be present in the GSA_AUTH, GSA_REGISTRATION, and GSA_INBAND_REKEY exchanges. In the GSA_REKEY pseudo-exchange, at least one SA_KEY attribute MUST be present, and more attributes MAY be present (depending on the key management method employed by the GCKS).
キー バッグがキー再生成 SA (GIKE_UPDATE プロトコル) 用である場合、GSA_AUTH、GSA_REGISTRATION、および GSA_INBAND_REKEY 交換に SA_KEY 属性が 1 つだけ存在する必要があります。GSA_REKEY 擬似交換では、少なくとも 1 つの SA_KEY 属性が存在しなければならず、(GCKS が採用する鍵管理方法に応じて) より多くの属性が存在してもよい (MAY)。
The Member Key Bag substructure contains keys and other parameters that are specific for a member of the group and are not associated with any particular group SA.
メンバー キー バッグのサブ構造には、グループのメンバーに固有であり、特定のグループ SA には関連付けられていないキーとその他のパラメーターが含まれています。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Protocol | RESERVED | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ <Member Key Bag Attributes> ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 19: Member Key Bag Substructure Format
図 19: メンバー キー バッグのサブ構造の形式
The Member Key Bag substructure fields are defined as follows:
メンバー キー バッグのサブ構造フィールドは次のように定義されます。
Protocol (1 octet):
プロトコル (1 オクテット):
MUST be zero. This value is reserved (see Section 9) and is never used for any security protocol, so it is used here to indicate that this key bag is not associated with any particular SA.
ゼロでなければなりません。この値は予約されており (セクション 9 を参照)、セキュリティ プロトコルには決して使用されないため、ここでは、このキー バッグが特定の SA に関連付けられていないことを示すために使用されます。
RESERVED ( octet):
予約済み (オクテット):
MUST be zero on transmission and MUST be ignored on receipt.
送信時にはゼロでなければならず、受信時には無視されなければなりません。
Length (2 octets, unsigned integer):
長さ (2 オクテット、符号なし整数):
Length of this substructure including the header.
ヘッダーを含むこのサブ構造の長さ。
Member Key Bag Attributes (variable):
メンバーキーバッグの属性 (変数):
Contains key information and other parameters exclusively for a particular member of the group.
グループの特定のメンバー専用のキー情報およびその他のパラメータが含まれます。
The Member Key Bag substructure contains sensitive information for a single GM. For this reason, it MUST NOT be sent in GSA_REKEY messages and MUST only be sent via unicast SA at the time the GM registers to the group (in either GSA_AUTH or GSA_REGISTRATION exchanges).
Member Key Bag のサブ構造には、単一の GM の機密情報が含まれています。このため、GSA_REKEY メッセージで送信してはならず、GM がグループに登録するとき (GSA_AUTH または GSA_REGISTRATION 交換のいずれか) にユニキャスト SA 経由でのみ送信しなければなりません (MUST)。
This document creates a new IKEv2 IANA registry for the types of Member Key Bag attributes, which has been initially populated as described in Section 9. In particular, the following attributes have been added:
この文書では、メンバー キー バッグ属性のタイプに対応する新しい IKEv2 IANA レジストリを作成します。このレジストリは、セクション 9 で説明されているように最初に設定されています。特に、次の属性が追加されています。
+=======+===========================+========+==============+
| Value | Member Key Bag Attributes | Format | Multi-Valued |
+=======+===========================+========+==============+
| 0 | Reserved |
+-------+---------------------------+--------+--------------+
| 1 | WRAP_KEY | TLV | YES |
+-------+---------------------------+--------+--------------+
| 2 | AUTH_KEY | TLV | NO |
+-------+---------------------------+--------+--------------+
| 3 | GM_SENDER_ID | TLV | YES |
+-------+---------------------------+--------+--------------+
Table 8: Member Key Bag Attributes
表 8: メンバーキーバッグの属性
The attributes follow the format defined in the IKEv2 (Section 3.3.5 of [RFC7296]). The "Format" column defines what attribute format is allowed: Type/Length/Value (TLV) or Type/Value (TV). The "Multi-Valued" column defines whether multiple instances of the attribute can appear.
属性は、IKEv2 ([RFC7296] のセクション 3.3.5) で定義された形式に従います。「形式」列は、どの属性形式が許可されるかを定義します: タイプ/長さ/値 (TLV) またはタイプ/値 (TV)。「複数値」列は、属性の複数のインスタンスを表示できるかどうかを定義します。
The WRAP_KEY attribute (1) contains a key that is used to encrypt other keys. One or more of these attributes are sent to GMs if the GCKS key management method relies on some key hierarchy (e.g., LKH). This attribute MUST NOT be used if inband rekey (via the GSA_INBAND_REKEY exchange) is employed by the GCKS for the GM.
WRAP_KEY 属性 (1) には、他のキーの暗号化に使用されるキーが含まれます。GCKS 鍵管理方法が何らかの鍵階層 (LKH など) に依存している場合、これらの属性の 1 つ以上が GM に送信されます。インバンドキー再生成 (GSA_INBAND_REKEY 交換経由) が GM の GCKS によって使用される場合、この属性は使用してはなりません (MUST NOT)。
The content of the attribute has a format defined in Section 4.5.4 with a precondition that the Key ID field MUST NOT be zero. The algorithm associated with the key is defined by the Key Wrap Algorithm transform for the SA the WRAP_KEY attributes was sent in. The size of the attribute data MUST be equal to the key size for this key wrap algorithm.
属性の内容はセクション 4.5.4 で定義された形式を持ち、キー ID フィールドはゼロであってはいけないという前提条件があります。キーに関連付けられたアルゴリズムは、WRAP_KEY 属性が送信された SA のキー ラップ アルゴリズム変換によって定義されます。属性データのサイズは、このキー ラップ アルゴリズムのキー サイズと等しくなければなりません。
Multiple instances of the WRAP_KEY attributes MAY be present in the key bag.
WRAP_KEY 属性の複数のインスタンスがキー バッグ内に存在してもよい(MAY)。
The AUTH_KEY attribute (2) contains the key that is used to authenticate the GSA_REKEY messages. The content of the attribute depends on the authentication method the GCKS specified in the Group Controller Authentication Method transform in the GSA payload.
AUTH_KEY 属性 (2) には、GSA_REKEY メッセージの認証に使用されるキーが含まれています。属性の内容は、GCKS が GSA ペイロードのグループ コントローラー認証方法変換で指定した認証方法によって異なります。
* If digital signatures are used for the GSA_REKEY message authentication, then the content of the AUTH_KEY attribute is a public key used for digital signature authentication. The public key MUST be represented as DER-encoded ASN.1 object SubjectPublicKeyInfo, defined in Section 4.1.2.7 of [RFC5280]. The algorithm field inside the SubjectPublicKeyInfo object MUST match the content of the Signature Algorithm Identifier attribute in the Group Controller Authentication Method transform. When the id-RSASSA-PSS object identifier appears in the algorithm field of the SubjectPublicKeyInfo object, then the parameters field MUST include the RSASSA-PSS-params structure.
* GSA_REKEY メッセージ認証にデジタル署名が使用される場合、AUTH_KEY 属性の内容はデジタル署名認証に使用される公開キーになります。公開鍵は、[RFC5280] のセクション 4.1.2.7 で定義されている、DER でエンコードされた ASN.1 オブジェクト SubjectPublicKeyInfo として表現されなければなりません (MUST)。SubjectPublicKeyInfo オブジェクト内のアルゴリズム フィールドは、グループ コントローラー認証方法トランスフォームの署名アルゴリズム識別子属性の内容と一致する必要があります。id-RSASSA-PSS オブジェクト識別子が SubjectPublicKeyInfo オブジェクトのアルゴリズム フィールドに表示される場合、パラメータ フィールドには RSASSA-PSS-params 構造体が含まれなければなりません (MUST)。
* In case of implicit authentication, the AUTH_KEY Attribute is not used and MUST be absent (see Section 2.4.1).
* 暗黙的認証の場合、AUTH_KEY 属性は使用されず、存在しなければなりません (セクション 2.4.1 を参照)。
Multiple instances of the AUTH_KEY attributes MUST NOT be sent.
AUTH_KEY 属性の複数のインスタンスを送信してはなりません (MUST NOT)。
The GM_SENDER_ID attribute (3) is used to download one or more Sender-ID values for the exclusive use of a GM. One or more of these attributes MUST be sent by the GCKS if the GM informed the GCKS that it would be a sender (by including the GROUP_SENDER notification to the request) and if at least one of the Data-Security SAs included in the GSA payload uses a counter-based mode of encryption.
GM_SENDER_ID 属性 (3) は、GM 専用の 1 つ以上の Sender-ID 値をダウンロードするために使用されます。GM が (リクエストに GROUP_SENDER 通知を含めることにより) 送信者になることを GCKS に通知し、GSA ペイロードに含まれるデータ セキュリティ SA の少なくとも 1 つがカウンターベースの暗号化モードを使用している場合、これらの属性の 1 つ以上が GCKS によって送信されなければなりません (MUST)。
If the GMs have requested multiple Sender-ID values in the GROUP_SENDER notification, then the GCKS SHOULD provide it with the requested number of Sender-IDs by sending multiple instances of the GM_SENDER_ID attribute. The GCKS MAY send fewer values than requested by the GM (e.g., if it is running out of Sender-IDs), but it MUST NOT send more than requested.
GM が GROUP_SENDER 通知で複数の Sender-ID 値を要求した場合、GCKS は GM_SENDER_ID 属性の複数のインスタンスを送信することで、要求された数の Sender-ID を GROUP_SENDER 通知に提供する必要があります (SHOULD)。GCKS は、GM が要求した値よりも少ない値を送信してもよい (Sender-ID が不足している場合など) が、要求された値より多くの値を送信してはなりません (MUST NOT)。
This attribute MUST NOT appear in the rekey operations (in the GSA_REKEY pseudo-exchange or in the GSA_INBAND_REKEY exchange).
この属性は、キー再生成操作 (GSA_REKEY 疑似交換または GSA_INBAND_REKEY 交換) に現れてはなりません (MUST NOT)。
Symmetric keys in G-IKEv2 are never sent in clear inside G-IKEv2 messages. They are always protected with other symmetric keys. This protection is called key wrapping. Algorithms used for key wrapping are usually based on generic encryption algorithms, but their mode of operation is optimized for protecting short high-entropy data with minimal additional overhead. While key wrap algorithms can be generic in general, they are often tied to the underlying encryption algorithms in practice. For example, AES Key Wrap with Padding Algorithm [RFC5649] defines key wrapping using AES, and Key Wrapping Constructions using SipHash and ChaCha [ARX-KW] define key wrapping using Chacha20.
G-IKEv2 の対称キーは、G-IKEv2 メッセージ内で平文で送信されることはありません。これらは常に他の対称キーで保護されます。この保護はキー ラッピングと呼ばれます。キーのラッピングに使用されるアルゴリズムは通常、汎用の暗号化アルゴリズムに基づいていますが、その動作モードは追加のオーバーヘッドを最小限に抑えて短い高エントロピー データを保護するために最適化されています。キー ラップ アルゴリズムは一般に汎用的なものですが、実際には基盤となる暗号化アルゴリズムに関連付けられることがよくあります。たとえば、パディング アルゴリズムを使用した AES Key Wrap [RFC5649] は AES を使用したキー ラッピングを定義し、SipHash と ChaCha を使用した Key Wrapping Constructions [ARX-KW] は Chacha20 を使用したキー ラッピングを定義します。
In G-IKEv2, the key wrap algorithm MUST be negotiated in the IKE_SA_INIT exchange so that the GCKS is able to send encrypted keys to the GM in the GSA_AUTH exchange. In addition, if the GCKS plans to use the multicast Rekey SA for group rekey, then it MUST specify the key wrap algorithm in the group SA policy for the Rekey SA inside the GSA payload. Note that key wrap algorithms for these cases MAY be different. For the unicast SA, the key wrap algorithm is negotiated between the GM and the GCKS, while for the multicast Rekey SA, the key wrap algorithm is provided by the GCKS to the GMs as part of the group policy. If an SAg payload is included in the GSA_AUTH request, then it MUST indicate which key wrap algorithms are supported by the GM. In all these cases, the key wrap algorithm is specified in a Key Wrap Algorithm transform (see Section 4.4.2.1.2).
G-IKEv2 では、GCKS が GSA_AUTH 交換で暗号化された鍵を GM に送信できるように、IKE_SA_INIT 交換で鍵ラップ アルゴリズムをネゴシエートする必要があります。さらに、GCKS がグループのキー再生成にマルチキャスト Rekey SA の使用を計画している場合は、GSA ペイロード内の Rekey SA のグループ SA ポリシーでキー ラップ アルゴリズムを指定しなければなりません (MUST)。これらの場合のキーラップアルゴリズムは異なる場合があることに注意してください。ユニキャスト SA の場合、キー ラップ アルゴリズムは GM と GCKS の間でネゴシエートされますが、マルチキャスト Rekey SA の場合、キー ラップ アルゴリズムはグループ ポリシーの一部として GCKS によって GM に提供されます。SAg ペイロードが GSA_AUTH リクエストに含まれている場合、どのキー ラップ アルゴリズムが GM によってサポートされているかを示さなければなりません (MUST)。これらすべての場合において、キー ラップ アルゴリズムはキー ラップ アルゴリズム変換で指定されます (セクション 4.4.2.1.2 を参照)。
The format of the wrapped key is shown in Figure 20.
ラップされたキーの形式を図 20 に示します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Key ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| KWK ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
~ Encrypted Key ~
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 20: Wrapped Key Format
図 20: ラップされたキーの形式
The Wrapped Key fields are defined as follows:
ラップされたキー フィールドは次のように定義されます。
Key ID (4 octets):
キーID (4オクテット):
ID of the encrypted key. The value zero means that the encrypted key contains SA keys (in the form of keying material; see Section 3.4). Otherwise, it contains some intermediate key.
暗号化されたキーのID。値 0 は、暗号化されたキーに SA キーが含まれていることを意味します (キー素材の形式。セクション 3.4 を参照)。それ以外の場合は、何らかの中間キーが含まれます。
KWK ID (4 octets):
KWK ID (4 オクテット):
ID of the key that was used to encrypt the key with a specified Key ID. The value zero means that the default KWK was used to encrypt the key. Otherwise, some intermediate key was used.
指定されたキー ID でキーを暗号化するために使用されたキーの ID。値 0 は、キーの暗号化にデフォルトの KWK が使用されたことを意味します。それ以外の場合は、何らかの中間キーが使用されました。
Encrypted Key (variable):
暗号化キー (変数):
The encrypted key bits. These bits comprise either a single encrypted key or a result of encryption of a concatenation of keys (key material) for several algorithms. The format of this field is determined by the key wrap algorithm for the SA the wrapped key is sent over.
暗号化されたキービット。これらのビットは、単一の暗号化キー、またはいくつかのアルゴリズムのキー (キー素材) を連結した暗号化の結果のいずれかを構成します。このフィールドの形式は、ラップされたキーが送信される SA のキー ラップ アルゴリズムによって決定されます。
Delete payload is used in G-IKEv2 when the GCKS wants to delete Data-Security and Rekey SAs. The interpretation of the Protocol field in the Delete payload is extended so that zero protocol indicates deletion of whole Group SA (i.e., all Data-Security SAs and the Rekey SA). See Section 2.4.3 for detail.
削除ペイロードは、GCKS が Data-Security SA と Rekey SA を削除する必要がある場合に、G-IKEv2 で使用されます。削除ペイロードのプロトコル フィールドの解釈が拡張され、ゼロ プロトコルはグループ SA 全体 (つまり、すべてのデータ セキュリティ SA と Rekey SA) の削除を示します。詳細については、セクション 2.4.3 を参照してください。
G-IKEv2 uses the same Notify payload as specified in Section 3.10 of [RFC7296].
G-IKEv2 は、[RFC7296] のセクション 3.10 で指定されているのと同じ通知ペイロードを使用します。
There are additional Notify message types introduced by G-IKEv2 to communicate error conditions and status (see Section 9).
エラー条件とステータスを伝達するために、G-IKEv2 によって導入された追加の通知メッセージ タイプがあります (セクション 9 を参照)。
INVALID_GROUP_ID (45) is a new error type notification that indicates that the IDg payload sent during the registration process denotes an invalid group. The Protocol ID and SPI Size fields in the Notify payload MUST be zero. There is no data associated with this notification and the content of the Notification Data field MUST be ignored on receipt.
INVALID_GROUP_ID (45) は、登録プロセス中に送信された IDg ペイロードが無効なグループを示していることを示す新しいエラー タイプの通知です。Notify ペイロードのプロトコル ID フィールドと SPI サイズ フィールドはゼロでなければなりません。この通知に関連付けられたデータはなく、通知データ フィールドの内容は受信時に無視されなければなりません (MUST)。
AUTHORIZATION_FAILED (46) is a new error type notification that is sent in the response to a GSA_AUTH or GSA_REGISTRATION message when authorization failed. The Protocol ID and SPI Size fields in the Notify payload MUST be zero. There is no data associated with this notification and the content of the Notification Data field MUST be ignored on receipt.
AUTHORIZATION_FAILED (46) は、認可が失敗したときに GSA_AUTH または GSA_REGISTRATION メッセージへの応答で送信される新しいエラー タイプの通知です。Notify ペイロードのプロトコル ID フィールドと SPI サイズ フィールドはゼロでなければなりません。この通知に関連付けられたデータはなく、通知データ フィールドの内容は受信時に無視されなければなりません (MUST)。
REGISTRATION_FAILED (49) is a new error type notification that is sent by the GCKS when the GM registration request cannot be satisfied for reasons not related to this particular GM, e.g., if the capacity of the group is exceeded. The Protocol ID and SPI Size fields in the Notify payload MUST be zero. There is no data associated with this notification and the content of the Notification Data field MUST be ignored on receipt.
REGISTRATION_FAILED (49) は、グループの容量を超えた場合など、この特定の GM に関係のない理由で GM 登録要求を満たすことができない場合に、GCKS によって送信される新しいエラー タイプの通知です。Notify ペイロードのプロトコル ID フィールドと SPI サイズ フィールドはゼロでなければなりません。この通知に関連付けられたデータはなく、通知データ フィールドの内容は受信時に無視されなければなりません (MUST)。
GROUP_SENDER (16429) is a new status type notification that is sent in the GSA_AUTH or the GSA_REGISTRATION exchanges to indicate that the GM intends to be sender of data traffic. The data includes a count of how many Sender-ID values the GM desires. The count MUST be 4 octets long and contain the big-endian representation of the number of requested Sender-IDs. The Protocol ID and SPI Size fields in the Notify payload MUST be zero.
GROUP_SENDER (16429) は、GM がデータ トラフィックの送信者になるつもりであることを示すために、GSA_AUTH または GSA_REGISTRATION 交換で送信される新しいステータス タイプの通知です。データには、GM が希望する Sender-ID 値の数のカウントが含まれます。カウントは 4 オクテットの長さで、要求された Sender-ID の数のビッグエンディアン表現を含まなければなりません (MUST)。Notify ペイロードのプロトコル ID フィールドと SPI サイズ フィールドはゼロでなければなりません。
G-IKEv2 uses the same Authentication payload as specified in Section 3.8 of [RFC7296] to authenticate the rekey message. However, if it is used in the GSA_REKEY messages, the content of the payload is computed differently as described in Section 2.4.1.1.
G-IKEv2 は、[RFC7296] のセクション 3.8 で指定されているのと同じ認証ペイロードを使用して、キー再生成メッセージを認証します。ただし、GSA_REKEY メッセージで使用される場合、ペイロードの内容はセクション 2.4.1.1 で説明されているように異なる方法で計算されます。
G-IKEv2 defines a number of attributes that are used to convey information from the GCKS to GMs. There are some restrictions on where and when these attributes can appear in G-IKEv2 messages, which are defined when the attributes are introduced. For convenience, these restrictions are summarized in Table 9 (for multicast rekey operations) and Table 10 (for inband rekey operations) below.
G-IKEv2 は、GCKS から GM に情報を伝達するために使用される多数の属性を定義します。これらの属性を G-IKEv2 メッセージ内でいつどこに表示できるかについては、いくつかの制限があり、属性の導入時に定義されます。便宜上、これらの制限を以下の表 9 (マルチキャスト キー再生成操作の場合) および表 10 (インバンド キー再生成操作の場合) にまとめます。
The following notations are used:
次の表記が使用されます。
S
S
A single attribute of this type MUST be present.
このタイプの属性が 1 つ存在する必要があります。
M
M
Multiple attributes of this type MAY be present.
このタイプの複数の属性が存在してもよい(MAY)。
[]
[]
Attribute is OPTIONAL.
属性はオプションです。
-
-
Attribute MUST NOT be present.
属性は存在してはなりません。
Note that the restrictions are defined per a substructure for which corresponding attributes are defined and not per a whole G-IKEv2 message.
制限は、G-IKEv2 メッセージ全体ごとではなく、対応する属性が定義されているサブ構造ごとに定義されることに注意してください。
+========================+==================+===========+=======+
| Attributes | GSA_AUTH | GSA_REKEY | Notes |
| | GSA_REGISTRATION | | |
+========================+==================+===========+=======+
| Group SA Attributes (Section 4.4.2.2) |
+========================+==================+===========+=======+
| GSA_KEY_LIFETIME | S | S | |
+------------------------+------------------+-----------+-------+
| GSA_INITIAL_MESSAGE_ID | [S] | [S] | |
+------------------------+------------------+-----------+-------+
| GSA_NEXT_SPI | [M] | [M] | |
+========================+==================+===========+=======+
| GW Policy Attributes (Section 4.4.3.1) |
+========================+==================+===========+=======+
| GWP_ATD | [S] | [S] | |
+------------------------+------------------+-----------+-------+
| GWP_DTD | [S] | [S] | |
+------------------------+------------------+-----------+-------+
| GWP_SENDER_ID_BITS | S | - | 1 |
+========================+==================+===========+=======+
| Key Bag Attributes (Section 4.5.1) |
+========================+==================+===========+=======+
| SA_KEY | S | S[M] | 2 |
+------------------------+------------------+-----------+-------+
| WRAP_KEY | [M] | [M] | 3 |
+------------------------+------------------+-----------+-------+
| AUTH_KEY | S | [S] | 4 |
+------------------------+------------------+-----------+-------+
| GM_SENDER_ID | S[M] | - | 1 |
+------------------------+------------------+-----------+-------+
Table 9: Attributes in G-IKEv2 Exchanges with Multicast Rekey Operations
表 9: マルチキャスト キー再生成操作を使用した G-IKEv2 交換の属性
Notes:
注:
(1):
(1):
The GWP_SENDER_ID_BITS attribute MUST be present if the GCKS policy includes at least one cipher in counter mode of operation and if the GM included the GROUP_SENDER notify into the registration request. Otherwise, it MUST NOT be present. At least one GM_SENDER_ID attribute MUST be present in the former case (and more MAY be present if the GM requested more Sender-IDs), and it MUST NOT be present in the latter case.
GCKS ポリシーにカウンタ動作モードで少なくとも 1 つの暗号が含まれており、GM が登録リクエストに GROUP_SENDER 通知を含めた場合、GWP_SENDER_ID_BITS 属性が存在しなければなりません (MUST)。それ以外の場合は、存在してはなりません。前者の場合には、少なくとも 1 つの GM_SENDER_ID 属性が存在しなければなりません (GM がさらに多くの Sender-ID を要求した場合は、さらに多くの Sender-ID が存在してもよい) が、後者の場合には存在してはなりません (MUST NOT)。
(2):
(2):
For a Data-Security SA, exactly one SA_KEY attribute MUST be present. For a Rekey SA, exactly one SA_KEY attribute MUST be present in the GSA_AUTH and the GSA_REGISTRATION exchange. In the GSA_REKEY pseudo-exchange, at least one SA_KEY attribute MUST be present and more of these attributes MAY be present.
データ セキュリティ SA の場合、SA_KEY 属性が 1 つだけ存在する必要があります。Rekey SA の場合、GSA_AUTH および GSA_REGISTRATION 交換に SA_KEY 属性が 1 つだけ存在する必要があります。GSA_REKEY 擬似交換では、少なくとも 1 つの SA_KEY 属性が存在しなければならず、これらの属性がさらに存在してもよい (MAY)。
(3):
(3):
The WRAP_KEY attribute MUST be present if the GCKS employs a key management method that relies on a key tree (like LKH).
GCKS がキー ツリー (LKH など) に依存するキー管理方法を採用している場合、WRAP_KEY 属性が存在しなければなりません (MUST)。
(4):
(4):
The AUTH_KEY attribute MUST be present in the GSA_AUTH and GSA_REGISTRATION exchanges if the GCKS employs an authentication method of rekey operations based on digital signatures and MUST NOT be present if implicit authentication is employed. The AUTH_KEY attribute MUST be present in the GSA_REKEY pseudo-exchange if the GCKS employs an authentication method based on digital signatures and wants to change the public key for the following multicast rekey operations.
GCKS がデジタル署名に基づくキー再生成操作の認証方法を使用する場合、AUTH_KEY 属性は GSA_AUTH および GSA_REGISTRATION 交換に存在しなければなりません (MUST)。暗黙的認証が使用される場合は存在してはなりません。GCKS がデジタル署名に基づく認証方法を使用し、次のマルチキャスト キー再生成操作の公開キーを変更したい場合は、AUTH_KEY 属性が GSA_REKEY 擬似交換に存在しなければなりません (MUST)。
+========================+================+==================+=====+
| Attributes |GSA_AUTH | GSA_INBAND_REKEY |Notes|
| |GSA_REGISTRATION| | |
+========================+================+==================+=====+
| Group SA Attributes (Section 4.4.2.2) |
+========================+================+==================+=====+
| GSA_KEY_LIFETIME |[S] | [S] | |
+------------------------+----------------+------------------+-----+
| GSA_INITIAL_MESSAGE_ID |- | - | |
+------------------------+----------------+------------------+-----+
| GSA_NEXT_SPI |- | - | |
+========================+================+==================+=====+
| GW Policy Attributes (Section 4.4.3.1) |
+========================+================+==================+=====+
| GWP_ATD |[S] | [S] | |
+------------------------+----------------+------------------+-----+
| GWP_DTD |[S] | [S] | |
+------------------------+----------------+------------------+-----+
| GWP_SENDER_ID_BITS |S | - |1 |
+========================+================+==================+=====+
| Key Bag Attributes (Section 4.5.1) |
+========================+================+==================+=====+
| SA_KEY |S | S | |
+------------------------+----------------+------------------+-----+
| WRAP_KEY |- | - | |
+------------------------+----------------+------------------+-----+
| AUTH_KEY |- | - | |
+------------------------+----------------+------------------+-----+
| GM_SENDER_ID |S[M] | - |1 |
+------------------------+----------------+------------------+-----+
Table 10: Attributes in G-IKEv2 Exchanges with Inband Rekey Operations
表 10: インバンド キー再生成操作を使用した G-IKEv2 交換の属性
Notes:
注:
(1):
(1):
The GWP_SENDER_ID_BITS attribute MUST be present if the GCKS policy includes at least one cipher in counter mode of operation and the GM included the GROUP_SENDER notify into the registration request. Otherwise, it MUST NOT be present. At least one GM_SENDER_ID attribute MUST be present in the former case (and more MAY be present if the GM requested more Sender-IDs), and it MUST NOT be present in the latter case.
GCKS ポリシーにカウンタ動作モードで少なくとも 1 つの暗号が含まれており、GM が登録リクエストに GROUP_SENDER 通知を含めた場合、GWP_SENDER_ID_BITS 属性が存在しなければなりません (MUST)。それ以外の場合は、存在してはなりません。前者の場合には、少なくとも 1 つの GM_SENDER_ID 属性が存在しなければなりません (GM がさらに多くの Sender-ID を要求した場合は、さらに多くの Sender-ID が存在してもよい) が、後者の場合には存在してはなりません (MUST NOT)。
A number of IKEv2 and ESP extensions are defined that can be used to extend protocol functionality. G-IKEv2 is compatible with most of them. In particular, EAP authentication defined in [RFC7296] can be used to establish registration IKE SA, as well as EAP-only authentication [RFC5998] and secure password authentication [RFC6467]. G-IKEv2 is compatible with and can use IKEv2 Redirect Mechanism [RFC5685] and IKEv2 Session Resumption [RFC5723]. G-IKEv2 is also compatible with Multiple Key Exchanges in the IKEv2 framework, as defined in [RFC9370].
プロトコル機能を拡張するために使用できる、多数の IKEv2 および ESP 拡張機能が定義されています。G-IKEv2 は、それらのほとんどと互換性があります。特に、[RFC7296] で定義されている EAP 認証は、EAP のみの認証 [RFC5998] および安全なパスワード認証 [RFC6467] と同様に、登録 IKE SA を確立するために使用できます。G-IKEv2 は、IKEv2 リダイレクト メカニズム [RFC5685] および IKEv2 セッション再開 [RFC5723] と互換性があり、使用できます。G-IKEv2 は、[RFC9370] で定義されているように、IKEv2 フレームワークの複数の鍵交換とも互換性があります。
The above list of compatible IKEv2 extensions is not exhaustive. However, some IKEv2 extensions require special handling if used in G-IKEv2.
互換性のある IKEv2 拡張機能の上記のリストはすべてを網羅したものではありません。ただし、一部の IKEv2 拡張機能を G-IKEv2 で使用する場合は、特別な処理が必要です。
Using implicit IV for counter-based encryption modes in ESP is defined in [RFC8750]. This extension relies on the uniqueness of ESP sequence numbers. Thus, it cannot be used for multi-sender multicast SAs. However, it is possible to use implicit IV extension for a single-sender multicast ESP SA. Note that while implicit IVs can be used with ESN, using ESN is prohibited in multicast SAs (see Section 4.4.2.1.3).
ESP でのカウンターベースの暗号化モードに暗黙的 IV を使用することは、[RFC8750] で定義されています。この拡張機能は、ESP シーケンス番号の一意性に依存しています。したがって、複数送信者のマルチキャスト SA には使用できません。ただし、単一送信者のマルチキャスト ESP SA に暗黙的な IV 拡張を使用することは可能です。暗黙的 IV は ESN で使用できますが、マルチキャスト SA では ESN の使用が禁止されていることに注意してください (セクション 4.4.2.1.3 を参照)。
G-IKEv2 can take advantage of the protection provided by Post-quantum Preshared Keys (PPKs) for IKEv2 [RFC8784]. However, the use of PPKs leaves the initial IKE SA susceptible to quantum computer (QC) attacks. Group SA keys are protected with the default KWK (GSK_w), which is derived from SK_d and thus cannot be broken even by an attacker equipped with a QC. However, other data sent over the initial IKE SA may be susceptible to an attacker equipped with a QC of a sufficient size. Such an attacker can store all the traffic until it obtains such a QC and then decrypt it (i.e., Store Now Decrypt Later attack). See Section 6 of [RFC8784] for details.
G-IKEv2 は、IKEv2 [RFC8784] のポスト量子事前共有キー (PPK) によって提供される保護を利用できます。ただし、PPK を使用すると、最初の IKE SA は量子コンピューター (QC) 攻撃を受けやすくなります。グループ SA キーは、SK_d から派生したデフォルトの KWK (GSK_w) で保護されているため、QC を備えた攻撃者でも解読できません。ただし、最初の IKE SA 経由で送信される他のデータは、十分なサイズの QC を備えた攻撃者の影響を受けやすい可能性があります。このような攻撃者は、QC を取得するまですべてのトラフィックを保存し、それを復号化することができます (つまり、Store Now Decrypt Later 攻撃)。詳細については、[RFC8784] のセクション 6 を参照してください。
While the group keys are protected with PPK and thus are immune to QC, GCKS implementations that care about other data sent over initial IKE SA MUST rely on IKEv2 extensions that protect even initial IKE SA against QC (like [RFC9867]).
グループ鍵は PPK で保護されているため QC の影響を受けませんが、初期 IKE SA 経由で送信される他のデータを考慮する GCKS 実装は、初期 IKE SA さえも QC から保護する IKEv2 拡張機能に依存しなければなりません ([RFC9867] など)。
Aggregation and fragmentation mode for ESP is defined in [RFC9347]. This mode allows IP packets to be split over several ESP packets or several IP packets to be aggregated in a single ESP packet. This mode can only be used with ESP tunnel mode and relies on monotonically increasing sequence numbers in the incoming packets. Thus, it is impossible to use this mode for multi-sender multicast SAs. Since multicast Data-Security SAs are unidirectional, the congestion control feature of aggregation and fragmentation mode cannot be used.
ESP の集約モードと断片化モードは [RFC9347] で定義されています。このモードでは、IP パケットを複数の ESP パケットに分割したり、複数の IP パケットを 1 つの ESP パケットに集約したりできます。このモードは ESP トンネル モードでのみ使用でき、受信パケット内の単調増加するシーケンス番号に依存します。したがって、このモードを複数送信者のマルチキャスト SA に使用することはできません。マルチキャスト データ セキュリティ SA は単方向であるため、アグリゲーションおよびフラグメンテーション モードの輻輳制御機能は使用できません。
It is possible to use the aggregation and fragmentation mode without congestion control for a single-sender multicast ESP SA created in tunnel mode. GMs supporting this mode can send the USE_AGGFRAG notification in the registration request along with the SAg payload. If the Data-Security SA(s) to be installed on GMs uses the aggregation and fragmentation mode, the GCKS would indicate it by including the USE_AGGFRAG notification along with the GSA payload in its response.
トンネル モードで作成された単一送信者のマルチキャスト ESP SA では、輻輳制御なしで集約およびフラグメンテーション モードを使用することができます。このモードをサポートする GM は、SAg ペイロードとともに登録リクエストで USE_AGGFRAG 通知を送信できます。GM にインストールされるデータ セキュリティ SA が集約およびフラグメンテーション モードを使用する場合、GCKS は応答に GSA ペイロードとともに USE_AGGFRAG 通知を含めることでそれを示します。
Few extensions were defined for the GDOI protocol [RFC6407], like GDOI Support for IEC 62351 Security Services [RFC8052] or the GDOI GROUPKEY-PUSH Acknowledgement Message [RFC8263]. It is expected that these extensions will be redefined for G-IKEv2 in separate documents, if needed.
GDOI Support for IEC 62351 Security Services [RFC8052] や GDOI GROUPKEY-PUSH Acknowledgment Message [RFC8263] など、GDOI プロトコル [RFC6407] に対して定義された拡張機能はほとんどありません。これらの拡張機能は、必要に応じて別のドキュメントで G-IKEv2 用に再定義されることが予想されます。
When an entity joins the group and becomes a GM, it has to trust that the GCKS only authorized entities that are admitted to the group and has to trust that other GMs will not leak the information shared within the group.
エンティティがグループに参加して GM になる場合、そのエンティティは、GCKS がそのグループへの参加を許可されたエンティティのみを承認していることを信頼する必要があり、他の GM がグループ内で共有される情報を漏洩しないことを信頼する必要があります。
G-IKEv2 registration procedure uses IKEv2 initial exchanges, inheriting all the security considerations documented in Section 5 of [RFC7296], including authentication, confidentiality, on-path attack protection, protection against replay/reflection attacks, and denial-of-service protection. The GSA_REGISTRATION exchange also takes advantage of those protections. In addition, G-IKEv2 brings in the capability to authorize a particular GM regardless of whether they have the IKEv2 credentials.
G-IKEv2 登録手順は IKEv2 初期交換を使用し、認証、機密性、オンパス攻撃保護、リプレイ/リフレクション攻撃に対する保護、およびサービス拒否保護を含む、[RFC7296] のセクション 5 に文書化されているセキュリティ上の考慮事項をすべて継承します。GSA_REGISTRATION 交換でもこれらの保護を利用します。さらに、G-IKEv2 では、特定の GM が IKEv2 資格情報を持っているかどうかに関係なく、その GM を承認する機能が導入されています。
The GSA maintenance channel is cryptographically and integrity protected using the cryptographic algorithm and key negotiated in the GSA member registration exchange.
GSA メンテナンス チャネルは、GSA メンバー登録交換でネゴシエートされた暗号アルゴリズムとキーを使用して暗号化され、完全性が保護されます。
The authentication key is distributed during the GM registration and the receiver of the rekey message uses that key to verify the message came from the authorized GCKS. An implicit authentication can also be used, in which case, the ability of the GM to decrypt and to verify ICV of incoming messages is used as a proof that the sender knows group keys and therefore is a member of the group. However, implicit authentication doesn't provide source origin authentication, so the GM cannot be sure that the message came from the GCKS. For this reason, using implicit authentication is NOT RECOMMENDED unless used with a small group of trusted parties.
認証キーは GM 登録中に配布され、キー再生成メッセージの受信者はそのキーを使用して、メッセージが認可された GCKS からのものであることを確認します。暗黙的な認証も使用できます。この場合、受信メッセージの ICV を復号して検証する GM の機能は、送信者がグループ鍵を知っており、したがってグループのメンバーであることの証明として使用されます。ただし、暗黙的認証では送信元認証が提供されないため、GM はメッセージが GCKS から送信されたものであるかどうかを確認できません。このため、信頼できる関係者の小規模なグループで使用する場合を除き、暗黙的認証の使用は推奨されません。
Confidentiality is provided by distributing a confidentiality key as part of the GSA member registration exchange.
機密性は、GSA メンバー登録交換の一環として機密性キーを配布することによって提供されます。
The GSA maintenance channel is integrity protected by using a digital signature.
GSA メンテナンス チャネルは、デジタル署名を使用して完全性が保護されています。
The GSA_REKEY message includes a monotonically increasing sequence number to protect against replay and reflection attacks. A GM will recognize a replayed message by comparing the Message ID number to that of the last received rekey message. Any rekey message containing a Message ID number less than or equal to the last received value MUST be discarded. Implementations should keep a record of recently received GSA rekey messages for this comparison.
GSA_REKEY メッセージには、リプレイおよびリフレクション攻撃から保護するために単調増加するシーケンス番号が含まれています。GM は、メッセージ ID 番号を最後に受信したキー再生成メッセージの番号と比較することによって、再生されたメッセージを認識します。最後に受信した値以下のメッセージ ID 番号を含むキー再生成メッセージは、破棄されなければなりません (MUST)。実装では、この比較のために、最近受信した GSA キー再生成メッセージの記録を保持する必要があります。
The strict role separation between the GCKS and the GMs and, as a consequence, the limitation for a Rekey SA to be outbound/inbound only, helps to prevent reflection attack.
GCKS と GM 間の厳密な役割分離と、その結果としての Rekey SA の送信/受信のみという制限は、リフレクション攻撃の防止に役立ちます。
Per this document, new registries have been created for G-IKEv2 under the "Internet Key Exchange Version 2 (IKEv2) Parameters" registry group [IKEV2-IANA]. The terms Reserved, Expert Review, and Private Use are as defined in [RFC8126].
この文書によれば、G-IKEv2 用の新しいレジストリが「Internet Key Exchange Version 2 (IKEv2) Parameters」レジストリ グループ [IKEV2-IANA] の下に作成されました。予約済み、専門家レビュー、および私的使用という用語は、[RFC8126] で定義されているとおりです。
1. IANA has created the "Transform Type 13 - Key Wrap Algorithm Transform IDs" registry. The registration policy for this registry is Expert Review [RFC8126]. The initial values of the registry are as follows:
1. IANA は、「Transform Type 13 - Key Wrap Algorithm Transform IDs」レジストリを作成しました。このレジストリの登録ポリシーは Expert Review [RFC8126] です。レジストリの初期値は以下のとおりです。
+============+==========================+
| Value | Key Wrap Algorithm |
+============+==========================+
| 0 | Reserved |
+------------+--------------------------+
| 1 | KW_5649_128 |
+------------+--------------------------+
| 2 | KW_5649_192 |
+------------+--------------------------+
| 3 | KW_5649_256 |
+------------+--------------------------+
| 4 | KW_ARX |
+------------+--------------------------+
| 5-1023 | Unassigned |
+------------+--------------------------+
| 1024-65535 | Reserved for Private Use |
+------------+--------------------------+
Table 11
2. IANA has created the "Transform Type 14 - Group Controller Authentication Method Transform IDs" registry. The registration policy for this registry is Expert Review [RFC8126]. The initial values of the registry are as follows:
2. IANA は、「変換タイプ 14 - グループ コントローラー認証方式変換 ID」レジストリを作成しました。このレジストリの登録ポリシーは Expert Review [RFC8126] です。レジストリの初期値は以下のとおりです。
+============+========================================+
| Value | Group Controller Authentication Method |
+============+========================================+
| 0 | Reserved |
+------------+----------------------------------------+
| 1 | Implicit |
+------------+----------------------------------------+
| 2 | Digital Signature |
+------------+----------------------------------------+
| 3-1023 | Unassigned |
+------------+----------------------------------------+
| 1024-65535 | Reserved for Private Use |
+------------+----------------------------------------+
Table 12
3. IANA has created the "Group SA Attributes" registry. The registration policy for this registry is Expert Review [RFC8126]. The initial values of the registry are as follows:
3. IANA は「グループ SA 属性」レジストリを作成しました。このレジストリの登録ポリシーは Expert Review [RFC8126] です。レジストリの初期値は以下のとおりです。
+===========+======================+======+======+============+
|Value |Group SA Attributes |Format|Multi-|Used in |
| | | |Valued|Protocol |
+===========+======================+======+======+============+
|0 |Reserved | |
+-----------+----------------------+------+------+------------+
|1 |GSA_KEY_LIFETIME |TLV |NO |GIKE_UPDATE,|
| | | | |AH, ESP |
+-----------+----------------------+------+------+------------+
|2 |GSA_INITIAL_MESSAGE_ID|TLV |NO |GIKE_UPDATE |
+-----------+----------------------+------+------+------------+
|3 |GSA_NEXT_SPI |TLV |YES |GIKE_UPDATE,|
| | | | |AH, ESP |
+-----------+----------------------+------+------+------------+
|4-16383 |Unassigned | |
+-----------+----------------------+--------------------------+
|16384-32767|Reserved for Private | |
| |Use | |
+-----------+----------------------+--------------------------+
Table 13
4. IANA has created the "Group-Wide Policy Attributes" registry. The registration policy for this registry is Expert Review [RFC8126]. The initial values of the registry are as follows:
4. IANA は、「グループ全体のポリシー属性」レジストリを作成しました。このレジストリの登録ポリシーは Expert Review [RFC8126] です。レジストリの初期値は以下のとおりです。
+=============+======================+========+==============+
| Value | GW Policy Attributes | Format | Multi-Valued |
+=============+======================+========+==============+
| 0 | Reserved | |
+-------------+----------------------+--------+--------------+
| 1 | GWP_ATD | TV | NO |
+-------------+----------------------+--------+--------------+
| 2 | GWP_DTD | TV | NO |
+-------------+----------------------+--------+--------------+
| 3 | GWP_SENDER_ID_BITS | TV | NO |
+-------------+----------------------+--------+--------------+
| 4-16383 | Unassigned | |
+-------------+----------------------+-----------------------+
| 16384-32767 | Reserved for Private | |
| | Use | |
+-------------+----------------------+-----------------------+
Table 14
5. IANA has created the "Group Key Bag Attributes" registry. The registration policy for this registry is Expert Review [RFC8126]. The initial values of the registry are as follows:
5. IANA は、「グループ キー バッグ属性」レジストリを作成しました。このレジストリの登録ポリシーは Expert Review [RFC8126] です。レジストリの初期値は以下のとおりです。
+=============+=============+======+==============+=============+
| Value | Group Key |Format| Multi-Valued | Used in |
| | Bag | | | Protocol |
| | Attributes | | | |
+=============+=============+======+==============+=============+
| 0 | Reserved | |
+-------------+-------------+------+--------------+-------------+
| 1 | SA_KEY |TLV | YES | GIKE_UPDATE |
| | | | NO | AH, ESP |
+-------------+-------------+------+--------------+-------------+
| 2-16383 | Unassigned | |
+-------------+-------------+-----------------------------------+
| 16384-32767 | Reserved | |
| | for | |
| | Private | |
| | Use | |
+-------------+-------------+-----------------------------------+
Table 15
6. IANA has created the "Member Key Bag Attributes" registry. The registration policy for this registry is Expert Review [RFC8126]. The initial values of the registry are as follows:
6. IANA は、「メンバー キー バッグ属性」レジストリを作成しました。このレジストリの登録ポリシーは Expert Review [RFC8126] です。レジストリの初期値は以下のとおりです。
+=============+================+========+==============+
| Value | Member Key Bag | Format | Multi-Valued |
| | Attributes | | |
+=============+================+========+==============+
| 0 | Reserved | |
+-------------+----------------+--------+--------------+
| 1 | WRAP_KEY | TLV | YES |
+-------------+----------------+--------+--------------+
| 2 | AUTH_KEY | TLV | NO |
+-------------+----------------+--------+--------------+
| 3 | GM_SENDER_ID | TLV | YES |
+-------------+----------------+--------+--------------+
| 4-16383 | Unassigned | |
+-------------+----------------+-----------------------+
| 16384-32767 | Reserved for | |
| | Private Use | |
+-------------+----------------+-----------------------+
Table 16
In all cases of Expert Review described in this section, the designated expert (DE) is expected to ascertain the existence of suitable documentation (a specification) as described in [RFC8126] and verify that the document is permanently and publicly available. The DE is also expected to check the clarity of purpose and use of the requested code points. Lastly, the DE must verify that any specification produced outside the IETF does not conflict with work that is active or already published within the IETF.
このセクションで説明する専門家レビューのすべての場合において、指定された専門家 (DE) は、[RFC8126] で説明されている適切な文書 (仕様) の存在を確認し、その文書が永続的かつ公的に利用可能であることを検証することが期待されます。DE は、要求されたコード ポイントの目的と用途の明確性をチェックすることも期待されています。最後に、DE は、IETF の外部で作成された仕様が、IETF 内でアクティブな作業またはすでに公開されている作業と競合しないことを検証する必要があります。
1. In the "IKEv2 Exchange Types" registry, IANA has updated the references for the following entries to point to this document and has registered "GSA_INBAND_REKEY":
1. IANA は、「IKEv2 Exchange Types」レジストリで、この文書を指すように次のエントリの参照を更新し、「GSA_INBAND_REKEY」を登録しました。
+=======+==================+
| Value | Exchange Type |
+=======+==================+
| 39 | GSA_AUTH |
+-------+------------------+
| 40 | GSA_REGISTRATION |
+-------+------------------+
| 41 | GSA_REKEY |
+-------+------------------+
| 42 | GSA_INBAND_REKEY |
+-------+------------------+
Table 17
2. In the "IKEv2 Payload Types" registry, IANA has listed this document as a reference for the following entries:
2. IANA は、「IKEv2 Payload Types」レジストリで、次のエントリの参照としてこのドキュメントをリストしています。
+=======+============================+==========+
| Value | Next Payload Type | Notation |
+=======+============================+==========+
| 50 | Group Identification | IDg |
+-------+----------------------------+----------+
| 51 | Group Security Association | GSA |
+-------+----------------------------+----------+
| 52 | Key Download | KD |
+-------+----------------------------+----------+
Table 18
3. In the "IKEv2 Payload Types" registry, IANA has updated the definition of Payload Type 33 and added a reference to this document as follows:
3. IANA は、「IKEv2 ペイロード タイプ」レジストリでペイロード タイプ 33 の定義を更新し、このドキュメントへの参照を次のように追加しました。
+=======+=========================+==========+===========+
| Value | Next Payload Type | Notation | Reference |
+=======+=========================+==========+===========+
| 33 | Security Association | SA | [RFC7296] |
| +-------------------------+----------+-----------+
| | Security Association - | SAg | RFC 9838 |
| | GM Supported Transforms | | |
+-------+-------------------------+----------+-----------+
Table 19
4. In the "Transform Type Values" registry, IANA has made the following changes:
4. IANA は、「Transform Type Values」レジストリに次の変更を加えました。
* Registered "Key Wrap Algorithm (KWA)" and "Group Controller Authentication Method (GCAUTH)".
* 「キーラップアルゴリズム(KWA)」と「グループコントローラー認証方式(GCAUTH)」を登録しました。
* Updated the "Used In" column for values 1 and 3 and listed this document as an additional reference.
* 値 1 および 3 の「使用場所」列を更新し、追加の参考資料としてこのドキュメントをリストしました。
+======+================================+======================+
| Type | Description | Used In |
+======+================================+======================+
| 1 | Encryption Algorithm (ENCR) | (IKE, GIKE_UPDATE, |
| | | ESP) |
+------+--------------------------------+----------------------+
| 3 | Integrity Algorithm (INTEG) | (IKE, GIKE_UPDATE, |
| | | AH, optional in ESP) |
+------+--------------------------------+----------------------+
| 13 | Key Wrap Algorithm (KWA) | (IKE, GIKE_UPDATE) |
+------+--------------------------------+----------------------+
| 14 | Group Controller | (GIKE_UPDATE) |
| | Authentication Method (GCAUTH) | |
+------+--------------------------------+----------------------+
Table 20
5. In the "IKEv2 Transform Attribute Types" registry, IANA has added the following entry:
5. IANA は、「IKEv2 Transform Attribute Types」レジストリに次のエントリを追加しました。
+=======+================================+========+
| Value | Attribute Type | Format |
+=======+================================+========+
| 18 | Signature Algorithm Identifier | TLV |
+-------+--------------------------------+--------+
Table 21
6. In the "Transform Type 5 - Sequence Numbers Transform IDs" registry, IANA has added the following entry:
6. IANA は、「Transform Type 5 - Sequence Numbers Transform IDs」レジストリに次のエントリを追加しました。
+========+============================+
| Number | Name |
+========+============================+
| 2 | 32-bit Unspecified Numbers |
+--------+----------------------------+
Table 22
7. In the "IKEv2 Notify Message Error Types" registry, IANA has made the following changes:
7. IANA は、「IKEv2 Notify Message Error Types」レジストリに次の変更を加えました。
* Registered "REGISTRATION_FAILED".
* 「REGISTRATION_FAILED」を登録しました。
* Updated the references for "INVALID_GROUP_ID" and "AUTHORIZATION_FAILED" to point to this document.
* このドキュメントを指すように「INVALID_GROUP_ID」および「AUTHORIZATION_FAILED」の参照を更新しました。
+=======+===========================+
| Value | Notify Message Error Type |
+=======+===========================+
| 45 | INVALID_GROUP_ID |
+-------+---------------------------+
| 46 | AUTHORIZATION_FAILED |
+-------+---------------------------+
| 49 | REGISTRATION_FAILED |
+-------+---------------------------+
Table 23
8. An earlier draft of this document [G-IKEV2] registered the Notify type 16429 in the "IKEv2 Notify Message Status Types" registry with the name SENDER_REQUEST_ID. Per this document, IANA has renamed it as follows:
8. この文書の以前のドラフト [G-IKEV2] では、通知タイプ 16429 を SENDER_REQUEST_ID という名前で「IKEv2 Notify Message Status Types」レジストリに登録しました。この文書に従って、IANA はこの文書の名前を次のように変更しました。
+=======+============================+
| Value | Notify Message Status Type |
+=======+============================+
| 16429 | GROUP_SENDER |
+-------+----------------------------+
Table 24
9. In the "IKEv2 Security Protocol Identifiers" registry, IANA has added the following entry:
9. IANA は、「IKEv2 Security Protocol Identifiers」レジストリに次のエントリを追加しました。
+=============+=============+
| Protocol ID | Protocol |
+=============+=============+
| 6 | GIKE_UPDATE |
+-------------+-------------+
Table 25
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate
Requirement Levels", BCP 14, RFC 2119,
DOI 10.17487/RFC2119, March 1997,
<https://www.rfc-editor.org/info/rfc2119>.
[RFC4301] Kent, S. and K. Seo, "Security Architecture for the
Internet Protocol", RFC 4301, DOI 10.17487/RFC4301,
December 2005, <https://www.rfc-editor.org/info/rfc4301>.
[RFC4302] Kent, S., "IP Authentication Header", RFC 4302,
DOI 10.17487/RFC4302, December 2005,
<https://www.rfc-editor.org/info/rfc4302>.
[RFC4303] Kent, S., "IP Encapsulating Security Payload (ESP)",
RFC 4303, DOI 10.17487/RFC4303, December 2005,
<https://www.rfc-editor.org/info/rfc4303>.
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S.,
Housley, R., and W. Polk, "Internet X.509 Public Key
Infrastructure Certificate and Certificate Revocation List
(CRL) Profile", RFC 5280, DOI 10.17487/RFC5280, May 2008,
<https://www.rfc-editor.org/info/rfc5280>.
[RFC6054] McGrew, D. and B. Weis, "Using Counter Modes with
Encapsulating Security Payload (ESP) and Authentication
Header (AH) to Protect Group Traffic", RFC 6054,
DOI 10.17487/RFC6054, November 2010,
<https://www.rfc-editor.org/info/rfc6054>.
[RFC7296] Kaufman, C., Hoffman, P., Nir, Y., Eronen, P., and T.
Kivinen, "Internet Key Exchange Protocol Version 2
(IKEv2)", STD 79, RFC 7296, DOI 10.17487/RFC7296, October
2014, <https://www.rfc-editor.org/info/rfc7296>.
[RFC7427] Kivinen, T. and J. Snyder, "Signature Authentication in
the Internet Key Exchange Version 2 (IKEv2)", RFC 7427,
DOI 10.17487/RFC7427, January 2015,
<https://www.rfc-editor.org/info/rfc7427>.
[RFC8126] Cotton, M., Leiba, B., and T. Narten, "Guidelines for
Writing an IANA Considerations Section in RFCs", BCP 26,
RFC 8126, DOI 10.17487/RFC8126, June 2017,
<https://www.rfc-editor.org/info/rfc8126>.
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC
2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174,
May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC9827] Smyslov, V., "Renaming the Extended Sequence Numbers (ESN)
Transform Type in the Internet Key Exchange Protocol
Version 2 (IKEv2)", RFC 9827, DOI 10.17487/RFC9827,
November 2025, <https://www.rfc-editor.org/info/rfc9827>.
[ARX-KW] Shinichi, S., "ARX-KW, a family of key wrapping
constructions using SipHash and ChaCha", Cryptology ePrint
Archive, Paper 2020/059, January 2020,
<https://eprint.iacr.org/2020/059.pdf>.
[G-IKEV2] Rowles, S., Yeung, A., Tran, P., and Y. Nir, "Group Key
Management using IKEv2", Work in Progress, Internet-Draft,
draft-yeung-g-ikev2-07, 5 November 2013,
<https://datatracker.ietf.org/doc/html/draft-yeung-
g-ikev2-07>.
[IKEV2-IANA]
IANA, "Internet Key Exchange Version 2 (IKEv2)
Parameters",
<http://www.iana.org/assignments/ikev2-parameters>.
[NNL] Naor, D., Naor, M., and J. Lotspiech, "Revocation and
Tracing Schemes for Stateless Receivers", Advances in
Cryptology - CRYPTO 2001, Lecture Notes in Computer
Science, vol. 2139, pp. 41-62,
DOI 10.1007/3-540-44647-8_3, 2001,
<http://www.wisdom.weizmann.ac.il/~naor/PAPERS/2nl.pdf>.
[OFT] McGrew, D. and A. Sherman, "Key Establishment in Large
Dynamic Groups Using One-Way Function Trees", IEEE
Transactions on Software Engineering, vol. 29, no. 5, pp.
444-458, DOI 10.1109/TSE.2003.1199073, May 1998,
<https://pdfs.semanticscholar.org/
d24c/7b41f7bcc2b6690e1b4d80eaf8c3e1cc5ee5.pdf>.
[RFC2409] Harkins, D. and D. Carrel, "The Internet Key Exchange
(IKE)", RFC 2409, DOI 10.17487/RFC2409, November 1998,
<https://www.rfc-editor.org/info/rfc2409>.
[RFC2627] Wallner, D., Harder, E., and R. Agee, "Key Management for
Multicast: Issues and Architectures", RFC 2627,
DOI 10.17487/RFC2627, June 1999,
<https://www.rfc-editor.org/info/rfc2627>.
[RFC3686] Housley, R., "Using Advanced Encryption Standard (AES)
Counter Mode With IPsec Encapsulating Security Payload
(ESP)", RFC 3686, DOI 10.17487/RFC3686, January 2004,
<https://www.rfc-editor.org/info/rfc3686>.
[RFC3740] Hardjono, T. and B. Weis, "The Multicast Group Security
Architecture", RFC 3740, DOI 10.17487/RFC3740, March 2004,
<https://www.rfc-editor.org/info/rfc3740>.
[RFC3948] Huttunen, A., Swander, B., Volpe, V., DiBurro, L., and M.
Stenberg, "UDP Encapsulation of IPsec ESP Packets",
RFC 3948, DOI 10.17487/RFC3948, January 2005,
<https://www.rfc-editor.org/info/rfc3948>.
[RFC4046] Baugher, M., Canetti, R., Dondeti, L., and F. Lindholm,
"Multicast Security (MSEC) Group Key Management
Architecture", RFC 4046, DOI 10.17487/RFC4046, April 2005,
<https://www.rfc-editor.org/info/rfc4046>.
[RFC4106] Viega, J. and D. McGrew, "The Use of Galois/Counter Mode
(GCM) in IPsec Encapsulating Security Payload (ESP)",
RFC 4106, DOI 10.17487/RFC4106, June 2005,
<https://www.rfc-editor.org/info/rfc4106>.
[RFC4309] Housley, R., "Using Advanced Encryption Standard (AES) CCM
Mode with IPsec Encapsulating Security Payload (ESP)",
RFC 4309, DOI 10.17487/RFC4309, December 2005,
<https://www.rfc-editor.org/info/rfc4309>.
[RFC4543] McGrew, D. and J. Viega, "The Use of Galois Message
Authentication Code (GMAC) in IPsec ESP and AH", RFC 4543,
DOI 10.17487/RFC4543, May 2006,
<https://www.rfc-editor.org/info/rfc4543>.
[RFC5374] Weis, B., Gross, G., and D. Ignjatic, "Multicast
Extensions to the Security Architecture for the Internet
Protocol", RFC 5374, DOI 10.17487/RFC5374, November 2008,
<https://www.rfc-editor.org/info/rfc5374>.
[RFC5649] Housley, R. and M. Dworkin, "Advanced Encryption Standard
(AES) Key Wrap with Padding Algorithm", RFC 5649,
DOI 10.17487/RFC5649, September 2009,
<https://www.rfc-editor.org/info/rfc5649>.
[RFC5685] Devarapalli, V. and K. Weniger, "Redirect Mechanism for
the Internet Key Exchange Protocol Version 2 (IKEv2)",
RFC 5685, DOI 10.17487/RFC5685, November 2009,
<https://www.rfc-editor.org/info/rfc5685>.
[RFC5723] Sheffer, Y. and H. Tschofenig, "Internet Key Exchange
Protocol Version 2 (IKEv2) Session Resumption", RFC 5723,
DOI 10.17487/RFC5723, January 2010,
<https://www.rfc-editor.org/info/rfc5723>.
[RFC5998] Eronen, P., Tschofenig, H., and Y. Sheffer, "An Extension
for EAP-Only Authentication in IKEv2", RFC 5998,
DOI 10.17487/RFC5998, September 2010,
<https://www.rfc-editor.org/info/rfc5998>.
[RFC6407] Weis, B., Rowles, S., and T. Hardjono, "The Group Domain
of Interpretation", RFC 6407, DOI 10.17487/RFC6407,
October 2011, <https://www.rfc-editor.org/info/rfc6407>.
[RFC6467] Kivinen, T., "Secure Password Framework for Internet Key
Exchange Version 2 (IKEv2)", RFC 6467,
DOI 10.17487/RFC6467, December 2011,
<https://www.rfc-editor.org/info/rfc6467>.
[RFC7383] Smyslov, V., "Internet Key Exchange Protocol Version 2
(IKEv2) Message Fragmentation", RFC 7383,
DOI 10.17487/RFC7383, November 2014,
<https://www.rfc-editor.org/info/rfc7383>.
[RFC7634] Nir, Y., "ChaCha20, Poly1305, and Their Use in the
Internet Key Exchange Protocol (IKE) and IPsec", RFC 7634,
DOI 10.17487/RFC7634, August 2015,
<https://www.rfc-editor.org/info/rfc7634>.
[RFC8052] Weis, B., Seewald, M., and H. Falk, "Group Domain of
Interpretation (GDOI) Protocol Support for IEC 62351
Security Services", RFC 8052, DOI 10.17487/RFC8052, June
2017, <https://www.rfc-editor.org/info/rfc8052>.
[RFC8263] Weis, B., Mangla, U., Karl, T., and N. Maheshwari, "Group
Domain of Interpretation (GDOI) GROUPKEY-PUSH
Acknowledgement Message", RFC 8263, DOI 10.17487/RFC8263,
November 2017, <https://www.rfc-editor.org/info/rfc8263>.
[RFC8750] Migault, D., Guggemos, T., and Y. Nir, "Implicit
Initialization Vector (IV) for Counter-Based Ciphers in
Encapsulating Security Payload (ESP)", RFC 8750,
DOI 10.17487/RFC8750, March 2020,
<https://www.rfc-editor.org/info/rfc8750>.
[RFC8784] Fluhrer, S., Kampanakis, P., McGrew, D., and V. Smyslov,
"Mixing Preshared Keys in the Internet Key Exchange
Protocol Version 2 (IKEv2) for Post-quantum Security",
RFC 8784, DOI 10.17487/RFC8784, June 2020,
<https://www.rfc-editor.org/info/rfc8784>.
[RFC9242] Smyslov, V., "Intermediate Exchange in the Internet Key
Exchange Protocol Version 2 (IKEv2)", RFC 9242,
DOI 10.17487/RFC9242, May 2022,
<https://www.rfc-editor.org/info/rfc9242>.
[RFC9329] Pauly, T. and V. Smyslov, "TCP Encapsulation of Internet
Key Exchange Protocol (IKE) and IPsec Packets", RFC 9329,
DOI 10.17487/RFC9329, November 2022,
<https://www.rfc-editor.org/info/rfc9329>.
[RFC9347] Hopps, C., "Aggregation and Fragmentation Mode for
Encapsulating Security Payload (ESP) and Its Use for IP
Traffic Flow Security (IP-TFS)", RFC 9347,
DOI 10.17487/RFC9347, January 2023,
<https://www.rfc-editor.org/info/rfc9347>.
[RFC9370] Tjhai, CJ., Tomlinson, M., Bartlett, G., Fluhrer, S., Van
Geest, D., Garcia-Morchon, O., and V. Smyslov, "Multiple
Key Exchanges in the Internet Key Exchange Protocol
Version 2 (IKEv2)", RFC 9370, DOI 10.17487/RFC9370, May
2023, <https://www.rfc-editor.org/info/rfc9370>.
[RFC9867] Smyslov, V., "Mixing Preshared Keys in the
IKE_INTERMEDIATE and CREATE_CHILD_SA Exchanges of the
Internet Key Exchange Protocol Version 2 (IKEv2) for Post-
Quantum Security", RFC 9867, DOI 10.17487/RFC9867,
November 2025, <https://www.rfc-editor.org/info/rfc9867>.
Section 5.4 of [RFC2627] describes the LKH architecture and how a GCKS uses LKH to exclude GMs. This section clarifies how the LKH architecture is used with G-IKEv2.
[RFC2627] のセクション 5.4 では、LKH アーキテクチャと、GCKS が LKH を使用して GM を除外する方法について説明しています。このセクションでは、LKH アーキテクチャが G-IKEv2 でどのように使用されるかを明確にします。
In this section, we will use the notation X{Y}, where a key with ID Y is encrypted with the key with ID X. The notation GSK_w{Y} means that the default wrap key GSK_w (with zero KWK ID)is used to encrypt key Y, and the notation X{K_sa} means key X is used to encrypt the SA key K_sa (which always has a Key ID of zero). Note that GSK_w{K_sa} means that the SA key is encrypted with the default wrap key, in which case, both KWK ID and Key ID are zero.
このセクションでは、表記 X{Y} を使用します。ここで、ID Y の鍵は ID X の鍵で暗号化されます。表記 GSK_w{Y} は、デフォルトのラップ鍵 GSK_w (KWK ID がゼロ) が鍵 Y の暗号化に使用されることを意味し、表記 X{K_sa} は、鍵 X が SA 鍵 K_sa (常に鍵 ID 0 を持つ) の暗号化に使用されることを意味します。GSK_w{K_sa} は、SA 鍵がデフォルトのラップ鍵で暗号化されていることを意味し、この場合、KWK ID と鍵 ID は両方ともゼロであることに注意してください。
The content of the KD payload will be shown as a sequence of key bags. The Group Key Bag substructure will be denoted as GP(SAn)() when n is an SPI for the SA and the Member Key Bag substructure will be denoted as MP(). The content of the key bags is shown as SA_KEY and WRAP_KEY attributes with the notation described above. For simplicity, the type of the attribute will not be shown because it is implicitly defined by the type of key bag.
KD ペイロードの内容は、一連のキー バッグとして表示されます。n が SA の SPI である場合、グループ キー バッグのサブ構造は GP(SAn)() として示され、メンバー キー バッグのサブ構造は MP() として示されます。キー バッグの内容は、上記の表記法で SA_KEY および WRAP_KEY 属性として示されます。わかりやすくするために、属性のタイプはキー バッグのタイプによって暗黙的に定義されるため、表示されません。
Below is the example of a KD payload:
以下は KD ペイロードの例です。
KD(GP(SA1)(X{K_sa}),MP(Y{X},Z{Y},GSK_w{Z})
Figure 21: Example of a KD Payload
図 21: KD ペイロードの例
For simplicity, any other attributes in the KD payload are omitted.
わかりやすくするために、KD ペイロード内の他の属性は省略されています。
We will also use the notation X->Y->Z to describe the Key Path. In this case, key Y is needed to decrypt key X and key Z is needed to decrypt key Y. In the example above, the keys had the following relation: K_sa->X->Y->Z->GSK_w.
また、X->Y->Z という表記を使用してキー パスを説明します。この場合、キー X を復号するにはキー Y が必要で、キー Y を復号するにはキー Z が必要です。上記の例では、キーには次の関係があります: K_sa->X->Y->Z->GSK_w。
When a GCKS forms a group, it creates a key tree as shown in Figure 22. The key tree contains logical keys (which are represented as the values of their Key IDs in the figure) and a private key shared with only a single GM (the GMs are represented as letters followed by the corresponding key ID in parentheses in the figure). The root of the tree contains the multicast Rekey SA key (which is represented as SAn(K_san). The figure below assumes that the Key IDs are assigned sequentially; this is not a requirement and only used for illustrative purposes. The GCKS may create a complete tree as shown or a partial tree, which is created on demand as members join the group.
GCKS がグループを形成すると、図 22 に示すキー ツリーが作成されます。キー ツリーには、論理キー (図ではキー ID の値として表されています) と、単一の GM のみで共有される秘密キーが含まれています (図では、GM は文字の後に括弧内の対応するキー ID が続く形式で表されています)。ツリーのルートには、マルチキャストのキー再生成 SA キー (SAn(K_san) として表されます。以下の図では、キー ID が順番に割り当てられることを前提としています。これは必須ではなく、説明の目的でのみ使用されます。GCKS は、示されているように完全なツリーを作成することも、メンバーがグループに参加するときにオンデマンドで作成される部分的なツリーを作成することもできます。
SA1(K_sa1)
+------------------------------+
1 2
+---------------+ +---------------+
3 4 5 6
+-------+ +-------+ +--------+ +--------+
A(7) B(8) C(9) D(10) E(11) F(12) G(13) H(14)
Figure 22: Initial LKH Tree
図 22: 初期の LKH ツリー
When GM A joins the group, the GCKS provides it with the keys in the KD payload of the GSA_AUTH or GSA_REGISTRATION exchange. Given the tree shown in figure above, the KD payload will be:
GM A がグループに参加すると、GCKS は GSA_AUTH または GSA_REGISTRATION 交換の KD ペイロード内のキーをそれに提供します。上の図に示すツリーを考慮すると、KD ペイロードは次のようになります。
KD(GP(SA1)(1{K_sa1}),MP(3{1},7{3},GSK_w{7})
Figure 23: KD Payload for the Group Member A
図 23: グループ メンバー A の KD ペイロード
From these attributes, the GM A will construct the Key Path K_sa1->1->3->7->GSK_w. Since it ends up with GSK_w, it will use all the WRAP_KEY attributes present in the path as its Working Key Path: 1->3->7.
これらの属性から、GM A はキー パス K_sa1->1->3->7->GSK_w を構築します。最終的に GSK_w になるため、パス内に存在するすべての WRAP_KEY 属性を作業キー パス (1->3->7) として使用します。
Similarly, when other GMs join the group, they will be provided with the corresponding keys and thus the GMs will have the following Working Key Paths:
同様に、他の GM がグループに参加すると、対応するキーが提供されるため、GM は次の作業キー パスを持つことになります。
A: 1->3->7 B: 1->3->8 C: 1->4->9, D: 1->4->10
E: 2->5->11 F: 2->5->12 G: 2->6->13 H: 2->6->14
Figure 24: Key Paths for all GMs
図 24: すべての GM の主要なパス
If the GCKS performs a simple SA rekey without changing group membership, it will only send a Group Key Bag in the KD payload with a new SA key encrypted with the default KWK.
GCKS がグループ メンバーシップを変更せずに単純な SA キー再生成を実行する場合、デフォルトの KWK で暗号化された新しい SA キーを含むグループ キー バッグを KD ペイロードで送信するだけです。
KD(GP(SA2)(GSK_w{K_sa2}))
Figure 25: KD Payload for the Simple Group SA Rekey
図 25: シンプル グループ SA キー再生成の KD ペイロード
All the GMs will be able to decrypt it and no changes in their Working Key Paths will happen.
すべての GM はそれを復号化でき、作業キー パスは変更されません。
If the GCKS has reason to believe that a GM should be excluded, then it can do so by sending a GSA_REKEY message that includes a set of GM_KEY attributes, which would allow all GMs, except for the excluded one, to get a new SA key.
GCKS が GM を除外すべきであると信じる理由がある場合、GM_KEY 属性のセットを含む GSA_REKEY メッセージを送信することで除外できます。これにより、除外された GM を除くすべての GM が新しい SA キーを取得できるようになります。
In the example below, the GCKS excludes GM F. For this purpose, it changes the key tree as follows, replacing key 2 with key 15 and key 5 with key 16. It also generates a new SA key for a new SA3.
以下の例では、GCKS は GM F を除外します。この目的で、GCKS は次のようにキー ツリーを変更し、キー 2 をキー 15 に、キー 5 をキー 16 に置き換えます。また、新しい SA3 の新しい SA キーも生成します。
SA3(K_sa3)
+------------------------------+
1 15
+---------------+ +---------------+
3 4 16 6
+-------+ +-------+ +---- +--------+
A(7) B(8) C(9) D(10) E(11) F(12) G(13) H(14)
Figure 26: LKH Tree after F Has Been Excluded
図 26: F が除外された後の LKH ツリー
Then it sends the following KD payload for the new Rekey SA3:
次に、新しい Rekey SA3 に対して次の KD ペイロードを送信します。
KD(GP(SA3)(1{K_sa3},15{K_sa3}),MP(6{15},16{15},11{16})
Figure 27: KD Payload for the Group Member F
図 27: グループ メンバー F の KD ペイロード
While processing this KD payload:
この KD ペイロードの処理中:
* GMs A, B, C, and D will be able to decrypt the SA_KEY attribute 1{K_sa3} by using the "1" key from their key path. Since no new GM_KEY attributes are in the new Key Path, they won't update their Working Key Paths.
* GM A、B、C、D は、キー パスの「1」キーを使用して SA_KEY 属性 1{K_sa3} を復号化できます。新しい GM_KEY 属性が新しいキー パスにないため、作業キー パスは更新されません。
* GMs G and H will construct new Key Path 15->6 and will be able to decrypt the intermediate key 15 using key 6 from their Working Key Paths. So, they will update their Working Key Paths replacing their beginnings up to key 6 with the new Key Path (thus replacing the key 2 with the key 15).
* GM G と H は、新しいキー パス 15->6 を構築し、作業キー パスのキー 6 を使用して中間キー 15 を復号化できるようになります。したがって、作業キー パスを更新して、キー 6 までの先頭を新しいキー パスに置き換えます (したがって、キー 2 をキー 15 に置き換えます)。
* GM E will construct a new Key Path 16->15->11 and will be able to decrypt the intermediate key 16 using key 11 from its Working Key Path. So, it will update its Working Key Path replacing its beginnings up to key 11 with the new Key Path (thus replacing key 2 with key 15 and key 5 with key 16).
* GM E は、新しいキー パス 16->15->11 を構築し、その作業キー パスからのキー 11 を使用して中間キー 16 を復号化できるようになります。したがって、作業キー パスを更新して、キー 11 までの先頭を新しいキー パスに置き換えます (したがって、キー 2 をキー 15 に、キー 5 をキー 16 に置き換えます)。
* GM F won't be able to construct any Key Path leading to any key it possesses, so it will be unable to decrypt the new SA key for the SA3. Thus, it will be excluded from the group once the SA3 is used.
* GM F は、それが所有するキーにつながるキー パスを構築できなくなるため、SA3 の新しい SA キーを復号化できなくなります。したがって、SA3 が使用されると、グループから除外されます。
Finally, the GMs will have the following Working Key Paths:
最後に、GM は次の作業キー パスを持ちます。
A: 1->3->7 B: 1->3->8 C: 1->4->9, D: 1->4->10
E: 15->16->11 F: excluded G: 15->6->13 H: 15->6->14
Figure 28: Key Paths for all GMs after Exclusion of a GM
図 28: GM の除外後のすべての GM のキー パス
The authors thank Lakshminath Dondeti and Jing Xiang for first exploring the use of IKEv2 for group key management and providing the basis behind the protocol. Mike Sullenberger and Amjad Inamdar were instrumental in helping resolve many issues in several draft versions of the document.
著者らは、グループ キー管理に IKEv2 の使用を最初に検討し、プロトコルの背後にある基礎を提供してくれた Lakshminat Dondeti と Jing Xiang に感謝します。Mike Sullenberger と Amjad Inamdar は、文書のいくつかの草案バージョンにおける多くの問題の解決に貢献しました。
The authors are grateful to Tero Kivinen, Daniel Migault, Gorry Fairhurst, Robert Sparks, Russ Housley, and Paul Wouters for their careful reviews and valuable proposals for improving the document quality.
著者らは、ドキュメントの品質を向上させるための慎重なレビューと貴重な提案をしてくれた Tero Kivinen、Daniel Migault、Gorry Fairhurst、Robert Sparks、Russ Housley、および Paul Wouters に感謝します。
The following individuals made substantial contributions to earlier draft versions of this document.
以下の個人は、この文書の以前の草案バージョンに多大な貢献をしました。
Sheela Rowles
Cisco Systems
Aldous Yeung
Cisco Systems
Email: cyyeung@cisco.com
Paulina Tran
Cisco Systems
Yoav Nir
Dell EMC
Email: ynir.ietf@gmail.com
Valery Smyslov
ELVIS-PLUS
Russian Federation
Email: svan@elvis.ru
Brian Weis
Independent
United States of America
Email: bew.stds@gmail.com