「SSH G3アーキテクチャの概要」（SSHコミュニケーションズ・セキュリティ）

●SSH G3 アーキテクチャ

特集特集

2005年6月1日（水） 19時00分

●SSH G3 アーキテクチャ

SSH G3 技術を開発する原動力となった主な要因は、スループットインテンシブなファイル転送や、アプリケーショントンネリングの大規模な使用における暗号化パフォーマンスに対する要求が増大し続け、これに応える必要があったことです。その目的は、プロトコルのパフォーマンスを新しいレベルにまで押し上げることにより、Secure Shell が、最も要求の厳しい環境であっても処理速度が滞ることなく使用できるようにすることでした。

SSH G3 は、完全に書き換えられた Secure Shell プロトコル実装で構成され、新しいアーキテクチャと暗号化アルゴリズムの拡張サポートが組み込まれています。ここで大切な点は、プロトコルの実装だけがアップグレードされたこと、およびこのプロトコル自体は IETF の SecSh ワーキンググループが規定している SSH2 と完全に互換性があるということです。

主に以下の 3 つの点でパフォーマンスが改善されました。

1)新たに最適化されたアーキテクチャによる、プロトコルスループットの改善

2)高度に最適化されたメモリ消費による、接続スケーラビリティの強化

3)CryptiCore(R) アルゴリズム (オプション) の使用による、暗号化およびデータ認証のパフォーマンスの改善

その他の改善として、新たな暗号化モジュールと認証モジュールを容易に統合するための、プラグインのサポートがあります。

新しい SSH G3 アーキテクチャは、SSH Tectia client/server ソリューション 5.0 のリリースの一部として、2005 年7月初旬に利用可能となる予定です。この新しいリリースの他の主な機能として、IBM z/OS メインフレームのサポートがあります。

●Connection Broker

SSH G3 におけるアーキテクチャレベルの大きな変更点の一つとして、"Connection Broker" と呼ばれるコンポーネントの導入があります。Connection Broker は、すべてのクライアント側 Secure Shell に共通するコンポーネントです。第二世代の Secure Shell の実装とは異なり、SSH G3 ベースの、クライアント側Secure Shell には、プロトコルコードが組み込まれていません。代わりに、クライアント側のプログラムは、Connection Brokerのチャネルを要求し、そのConnection Broker がSecure Shell プロトコル機能とすべての暗号化操作を実行するのです。

Connection Broker ベースのこの新しいアーキテクチャの主要な機能は、セッションごとに実行する必要がある Connection Broker が 1 つだけであるということです。クライアント側のすべての接続を、単一ポイントで処理できる主な利点は、コードやポリシーの複製を回避でき、その結果として使用が簡便になり、メモリ消費も削減できることです。たとえば、GUI を備えた Windows クライアント (SSH Tectia Client と Connector) などのすべてのクライアント、およびコマンドラインツールは、同じ構成ファイルや設定を共有できます。

また、認証データの処理など、セキュリティが不可欠なすべての操作を単一のコンポーネントに隔離することで、セキュリティが大幅に強化されました。さらに、Connection Broker により、プロトコルスタック全体を各アプリケーションに統合することなく、Secure Shell 機能をクライアントアプリケーションと容易に統合できるようになりました。

Connection Broker は、SSH Tectia client/server ソリューション 5.0 以降のリリースにおいて、Secure Shell ベースのすべてのクライアント側プログラムの組み込みコンポーネントとなります。

●サーバー側のスループット

スループットの改善が新しいプロトコル実装の主な目的の 1 つであったため、Secure Shell チャネルデータと実際のペイロードの処理を伴うコードパスに特別な注意が払われました。たとえば、コードでのデータコピー操作の数が最低限に抑えられたため、スループット時間が削減されました。

SSH G3 の新しい Secure Shell サーバーアーキテクチャもマルチスレッドであるため、マルチプロセッササーバーを十分に活用でき、よりよいパフォーマンスが得られます。

●サーバー側のスケーラビリティ

SSH G3 は、n x m サーバープロセスアーキテクチャを実装して、サーバー側のメモリ消費とパフォーマンスを最適化します。

他の大半の Secure Shell サーバー実装では、新しい接続がサーバーに確立されると常に、サーバー側プロセスを新たに作成します。たとえば、「セキュアなアプリケーション接続」 (トンネリング) では、大量のサーバープロセスを発生させ、各プロセスが単一トンネルの実行に使用されることになります。結果として、メモリ使用が非効率となります。

新しい n x m サーバープロセスアーキテクチャでは、次のように n + 1 個のサーバープロセスが常に実行されます。1 つのマスタサーバーが、n 個のサーバントサーバーに接続を割り当てます。サーバントサーバーの各プロセスが最大 m 個の同時接続を処理できる場合、サポートされる同時接続数は、n x m になります。この数は、環境とトンネルアプリケーションにより実際には何千という数になることもあります。

●CryptiCore アルゴリズム

SSH G3 アークテクチャは、3DES や AES など、広範な暗号化アルゴリズムをサポートしています。また、CryptiCore(R) 暗号化もオプションとして追加されたため、暗号化パフォーマンスがさらに向上しています。Cryptico (デンマークのデータセキュリティ会社) が開発した CryptiCore 暗号化およびデータ認証の技術は、ソフトウェアベースであり、プロセッサを完全に最適化して、他の暗号化ソフトウェアやデータ認証ソフトウェアに比べてはるかに高速な処理を実現します。

▼Cryptico 社
http://www.cryptico.com/

CryptiCore 暗号化は、主要な国際会議で提示され、そのフィールドの多くの専門家により支持されている Rabbit ストリーム暗号に基づいています。

パフォーマンス面での Secure Shell プロトコルの改善は、FIPS 140-2 暗号などサポートされているすべての暗号で実感できますが、CryptiCore を使用すると、スループットがさらに向上し、データインテンシブな環境に最適です。

●プラグインのサポート

独自の暗号化手法やめったに使用しない暗号化手法を簡単に統合できるように、SSH G3 は、プラグインベースのアーキテクチャをクライアント側とサーバー側の両方に実装しています。たとえば、暗号、MAC、圧縮アルゴリズム、キー交換アルゴリズム、および新しい認証メソッドを、プラグインとして製品に統合できます。実際、同じプラグインメカニズムが、サポート対象の組み込み暗号化アルゴリズムを SSH G3 に実装するために使われています。プラグインベースのこの新しいアーキテクチャにより、暗号アクセラレータや、他社製のその他の暗号モジュールに対するサポートを簡単に追加できます。

==================================================================
◆◆[お知らせ] Networld + Interop で特別キャンペーン実施！ ◆◆
http://www.jp.ssh.com/company/events/
==================================================================
個人情報保護法が施行された今、情報漏洩防止の重要性がますます高まってきています。6月8日〜10日に開催される Networld + InteropTokyo においてSSH社の販売代理店株式会社ディアイティのブース、「#7M08」内で、CRM や ERP などの企業用アプリケーションのデータ通信を保護するエンドツーエンドエンタープライズセキュリティソリューションをご紹介いたします。
★SSH Tectia 「セキュアなアプリケーション接続」ソリューションをご存知ですか？
★ブースにお越しいただいたお客様には、特別キャンペーン価格をご紹介致しますので、是非お立ち寄りください！
─>> http://www.jp.ssh.com/company/events/
────────────────────────────────
SSH コミュニケーションズ・セキュリティ株式会社
お問い合わせ営業部電話：03-3459-6830／メール： sales.jp@ssh.com

《ScanNetSecurity》