コモンクライテリア認証のための SSH アルゴリズムの制限
Cisco IOS XE Amsterdam 17.1.1 以降、SHA1 はサポートされません。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco IOS XE Amsterdam 17.1.1 以降、SHA1 はサポートされません。
ここでは、コモンクライテリア認定のセキュアシェル(SSH)アルゴリズム、Cisco IOS SSH サーバーアルゴリズム、および Cisco IOS SSH クライアントアルゴリズムについて説明します。
セキュア シェル(SSH)設定によって、Cisco IOS SSH サーバーおよびクライアントは、許可リストから設定されたアルゴリズムのネゴシエーションのみを許可することができます。リモート パーティが許可リストに含まれていないアルゴリズムのみを使用してネゴシエートしようとすると、要求は拒否され、セッションは確立されません。
Cisco IOS セキュア シェル(SSH)サーバーは、次の順序で暗号化アルゴリズム(Advanced Encryption Standard カウンタ モード [AES-CTR]、AES 暗号ブロック連鎖 [AES-CBC]、Triple Data Encryption Standard [3DES])をサポートします。
サポートされるデフォルトの暗号化の順序:
aes128-gcm
aes256-gcm
aes128-ctr
aes192-ctr
aes256-ctr
サポートされるデフォルト以外の暗号化の順序:
aes128-cbc
aes192-cbc
aes256-cbc
3des
Cisco IOS SSH クライアントは、次の順序でメッセージ認証コード(MAC)アルゴリズムをサポートします。
サポートされるデフォルトの HMAC の順序:
hmac-sha2-256
hmac-sha2-512
Cisco IOS SSH クライアントがサポートするホストキーアルゴリズムは 1 つのみで、CLI 設定は必要ありません。
サポートされるデフォルトのホストキーの順序:
x509v3-ssh-rsa
ssh-rsa
Cisco IOS セキュア シェル(SSH)クライアントは、次の順序で暗号化アルゴリズム(Advanced Encryption Standard カウンタ モード [AES-CTR]、AES 暗号ブロック連鎖 [AES-CBC]、Triple Data Encryption Standard [3DES])をサポートします。
サポートされるデフォルトの暗号化の順序:
aes128-gcm
aes256-gcm
aes128-ctr
aes192-ctr
aes256-ctr
サポートされるデフォルト以外の暗号化の順序:
aes128-cbc
aes192-cbc
aes256-cbc
3des
Cisco IOS SSH クライアントは、次の順序でメッセージ認証コード(MAC)アルゴリズムをサポートします。
サポートされるデフォルトの HMAC の順序:
hmac-sha2-256
hmac-sha2-512
Cisco IOS SSH クライアントがサポートするホストキーアルゴリズムは 1 つのみで、CLI 設定は必要ありません。
サポートされるデフォルトのホストキーの順序:
x509v3-ssh-rsa
ssh-rsa
ここでは、設定とトラブルシューティング方法に関する情報を提供します。
Cisco IOS SSH サーバーおよびクライアントの暗号キーアルゴリズム
Cisco IOS SSH サーバーおよびクライアントの MAC アルゴリズム
Cisco IOS SSH サーバーのホストキーアルゴリズム
コマンドまたはアクション | 目的 | |||||||
---|---|---|---|---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
||||||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||||||
ステップ 3 |
ip ssh {server | client} algorithm encryption {aes128-gcm | aes256-gcm | aes128-ctr | aes192-ctr | aes256-ctr | aes128cbc | aes192-cbs | 3des} 例:
|
SSH サーバーおよびクライアントでの暗号化アルゴリズムの順序を定義します。この順序は、アルゴリズムのネゴシエーション時に指定されます。
|
||||||
ステップ 4 |
end 例:
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
% SSH command rejected: All encryption algorithms cannot be disabled
コマンドまたはアクション | 目的 | |||||||
---|---|---|---|---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
||||||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||||||
ステップ 3 |
ip ssh {server | client} algorithm mac {hmac-sha2-256-etm | hmac-sha2-512-etm | hmac-sha2-256 | hmac-sha2-512 } 例:
|
SSH サーバーおよびクライアントでの MAC(メッセージ認証コード)アルゴリズムの順序を定義します。この順序は、アルゴリズムのネゴシエーション時に指定されます。
|
||||||
ステップ 4 |
end 例:
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
% SSH command rejected: All mac algorithms cannot be disabled
コマンドまたはアクション | 目的 | |||||||
---|---|---|---|---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
||||||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||||||
ステップ 3 |
ip ssh server algorithm hostkey {x509v3-ssh-rsa |rsa-sha2-512| rsa-sha2-256ssh-rsa} 例:
|
ホスト キー アルゴリズムの順序を定義します。Cisco IOS セキュア シェル(SSH)クライアントとネゴシエートされるのは、設定済みのアルゴリズムのみです。
|
||||||
ステップ 4 |
end 例:
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
% SSH command rejected: All hostkey algorithms cannot be disabled
ここでは、コモン認定用の SSH アルゴリズムの設定例を示します。
Device> enable
Device# configure terminal
Device(config)# ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des
Device(config)# end
Device> enable
Device# configure terminal
Device(config)# ip ssh client algorithm encryption aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des
Device(config)# end
Device> enable
Device# configure terminal
Device(config)# ip ssh server algorithm mac hmac-sha2-256-etm hmac-sha2-512-etm hmac-sha2-256 hmac-sha2-512
Device(config)# end
Device> enable
Device# configure terminal
Device(config)# ip ssh server algorithm hostkey x509v3-ssh-rsa rsa-sha2-512 rsa-sha2-256 ssh-rsaa
Device(config)# end
ステップ 1 |
enable 特権 EXEC モードを有効にします。
例:
|
ステップ 2 |
show ip ssh 設定済みのセキュア シェル(SSH)暗号化、ホスト キー、およびメッセージ認証コード(MAC)アルゴリズムを表示します。 例:
|
次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。
これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。
リリース |
機能 |
機能情報 |
---|---|---|
Cisco IOS XE Everest 16.5.1a |
コモンクライテリア認定用のセキュアシェルアルゴリズム |
コモンクライテリア認定用の SSH アルゴリズム機能によって、コモンクライテリア認定を取得したアルゴリズムのリストおよび順序が提供されます。このモジュールでは、認定されたアルゴリズムのリストに基づいて SSH 接続を制限できるように、セキュア シェル(SSH)サーバーおよびクライアントの暗号化、メッセージ認証コード(MAC)、およびホスト キー アルゴリズムの設定方法について説明します。 |
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。