AWS Site-to-Site VPN トンネル設定で出てくる フェーズ1/フェーズ2の各パラメータについて、それぞれの意味をシンプルに整理します。
🔐 IKE (Internet Key Exchange) のフェーズ
- フェーズ1: VPNの「安全な管理チャネル(ISAKMP SA)」を確立する段階
- フェーズ2: 実際にデータを暗号化して送受信する「データトンネル(IPsec SA)」を確立する段階
各パラメータの意味
1. フェーズ1暗号化アルゴリズム (Encryption Algorithm, Phase 1)
- 管理チャネル自体を暗号化する仕組み
- 例: AES-128, AES-256
- 強度が高いほど安全だが処理負荷も大きい
2. フェーズ2暗号化アルゴリズム (Encryption Algorithm, Phase 2)
- 実際に通信データを暗号化する仕組み
- 例: AES-128, AES-256
- フェーズ1と同様だが「本番データ用」
3. フェーズ1整合性アルゴリズム (Integrity Algorithm, Phase 1)
- フェーズ1通信が改ざんされていないか確認する仕組み
- 例: SHA-1, SHA-256
4. フェーズ2整合性アルゴリズム (Integrity Algorithm, Phase 2)
- 実データ通信が改ざんされていないか確認する仕組み
- 例: SHA-1, SHA-256
5. フェーズ1 DHグループ番号 (Diffie-Hellman Group, Phase 1)
- 鍵交換時の強度レベルを決める仕組み
- 数字が大きいほど安全(例: Group2, Group14, Group19など)
6. フェーズ2 DHグループ番号 (Diffie-Hellman Group, Phase 2)
- フェーズ2で暗号鍵を再生成する際に使用する
- 同様に数字が大きいほど安全
7. IKEバージョン
- IKEv1: 古くからある方式、シンプルだが柔軟性に欠ける
- IKEv2: 新しい方式、セキュリティ強化や接続安定性が高い(AWS推奨)
まとめ
- フェーズ1: 「鍵交換と安全な管理チャネルの確立」
- フェーズ2: 「実際のデータを暗号化してやり取り」
- 暗号化アルゴリズム → データを暗号化する方式
- 整合性アルゴリズム → 改ざんチェック
- DHグループ → 鍵交換の安全性レベル
- IKEバージョン → 通信プロトコルの世代