●SSH G3 アーキテクチャSSH G3 技術を開発する原動力となった主な要因は、スループット インテンシブなファイル転送や、アプリケーション トンネリングの大規模な使用における暗号化パフォーマンスに対する要求が増大し続け、これに応える必要があったことです。その目的は、プロトコルのパフォーマンスを新しいレベルにまで押し上げることにより、Secure Shell が、最も要求の厳しい環境であっても処理速度が滞ることなく使用できるようにすることでした。SSH G3 は、完全に書き換えられた Secure Shell プロトコル実装で構成され、新しいアーキテクチャと暗号化アルゴリズムの拡張サポートが組み込まれています。ここで大切な点は、プロトコルの実装だけがアップグレードされたこと、およびこのプロトコル自体は IETF の SecSh ワーキング グループが規定している SSH2 と完全に互換性があるということです。主に以下の 3 つの点でパフォーマンスが改善されました。 1)新たに最適化されたアーキテクチャによる、プロトコル スループットの改善 2)高度に最適化されたメモリ消費による、接続スケーラビリティの強化 3)CryptiCore(R) アルゴリズム (オプション) の使用による、暗号化およびデータ認証のパフォーマンスの改善その他の改善として、新たな暗号化モジュールと認証モジュールを容易に統合するための、プラグインのサポートがあります。新しい SSH G3 アーキテクチャは、SSH Tectia client/server ソリューション 5.0 のリリースの一部として、2005 年7月初旬に利用可能となる予定です。この新しいリリースの他の主な機能として、IBM z/OS メインフレームのサポートがあります。●Connection BrokerSSH G3 におけるアーキテクチャ レベルの大きな変更点の一つとして、"Connection Broker" と呼ばれるコンポーネントの導入があります。Connection Broker は、すべてのクライアント側 Secure Shell に共通するコンポーネントです。第二世代の Secure Shell の実装とは異なり、SSH G3 ベースの、クライアント側Secure Shell には、プロトコル コードが組み込まれていません。代わりに、クライアント側のプログラムは、Connection Brokerのチャネルを要求し、そのConnection Broker がSecure Shell プロトコル機能とすべての暗号化操作を実行するのです。Connection Broker ベースのこの新しいアーキテクチャの主要な機能は、セッションごとに実行する必要がある Connection Broker が 1 つだけであるということです。クライアント側のすべての接続を、単一ポイントで処理できる主な利点は、コードやポリシーの複製を回避でき、その結果として使用が簡便になり、メモリ消費も削減できることです。たとえば、GUI を備えた Windows クライアント (SSH Tectia Client と Connector) などのすべてのクライアント、およびコマンド ライン ツールは、同じ構成ファイルや設定を共有できます。また、認証データの処理など、セキュリティが不可欠なすべての操作を単一のコンポーネントに隔離することで、セキュリティが大幅に強化されました。さらに、Connection Broker により、プロトコル スタック全体を各アプリケーションに統合することなく、Secure Shell 機能をクライアント アプリケーションと容易に統合できるようになりました。Connection Broker は、SSH Tectia client/server ソリューション 5.0 以降のリリースにおいて、Secure Shell ベースのすべてのクライアント側プログラムの組み込みコンポーネントとなります。●サーバー側のスループットスループットの改善が新しいプロトコル実装の主な目的の 1 つであったため、Secure Shell チャネル データと実際のペイロードの処理を伴うコード パスに特別な注意が払われました。たとえば、コードでのデータ コピー操作の数が最低限に抑えられたため、スループット時間が削減されました。SSH G3 の新しい Secure Shell サーバー アーキテクチャもマルチ スレッドであるため、マルチ プロセッサ サーバーを十分に活用でき、よりよいパフォーマンスが得られます。●サーバー側のスケーラビリティSSH G3 は、n x m サーバー プロセス アーキテクチャを実装して、サーバー側のメモリ消費とパフォーマンスを最適化します。他の大半の Secure Shell サーバー実装では、新しい接続がサーバーに確立されると常に、サーバー側プロセスを新たに作成します。たとえば、「セキュアなアプリケーション接続」 (トンネリング) では、大量のサーバー プロセスを発生させ、各プロセスが単一トンネルの実行に使用されることになります。結果として、メモリ使用が非効率となります。新しい n x m サーバー プロセス アーキテクチャでは、次のように n + 1 個のサーバー プロセスが常に実行されます。1 つのマスタ サーバーが、n 個のサーバント サーバーに接続を割り当てます。サーバント サーバーの各プロセスが最大 m 個の同時接続を処理できる場合、サポートされる同時接続数は、n x m になります。この数は、環境とトンネル アプリケーションにより実際には何千という数になることもあります。●CryptiCore アルゴリズムSSH G3 アークテクチャは、3DES や AES など、広範な暗号化アルゴリズムをサポートしています。また、CryptiCore(R) 暗号化もオプションとして追加されたため、暗号化パフォーマンスがさらに向上しています。Cryptico (デンマークのデータ セキュリティ会社) が開発した CryptiCore 暗号化およびデータ認証の技術は、ソフトウェア ベースであり、プロセッサを完全に最適化して、他の暗号化ソフトウェアやデータ認証ソフトウェアに比べてはるかに高速な処理を実現します。 ▼Cryptico 社 http://www.cryptico.com/ CryptiCore 暗号化は、主要な国際会議で提示され、そのフィールドの多くの専門家により支持されている Rabbit ストリーム暗号に基づいています。パフォーマンス面での Secure Shell プロトコルの改善は、FIPS 140-2 暗号などサポートされているすべての暗号で実感できますが、CryptiCore を使用すると、スループットがさらに向上し、データ インテンシブな環境に最適です。●プラグインのサポート独自の暗号化手法やめったに使用しない暗号化手法を簡単に統合できるように、SSH G3 は、プラグイン ベースのアーキテクチャをクライアント側とサーバー側の両方に実装しています。たとえば、暗号、MAC、圧縮アルゴリズム、キー交換アルゴリズム、および新しい認証メソッドを、プラグインとして製品に統合できます。実際、同じプラグイン メカニズムが、サポート対象の組み込み暗号化アルゴリズムを SSH G3 に実装するために使われています。プラグイン ベースのこの新しいアーキテクチャにより、暗号アクセラレータや、他社製のその他の暗号モジュールに対するサポートを簡単に追加できます。==================================================================◆◆[お知らせ] Networld + Interop で特別キャンペーン実施! ◆◆ http://www.jp.ssh.com/company/events/==================================================================個人情報保護法が施行された今、情報漏洩防止の重要性がますます高まってきています。6月8日〜10日に開催される Networld + InteropTokyo においてSSH社の販売代理店 株式会社ディアイティのブース、「#7M08」内で、CRM や ERP などの企業用アプリケーションのデータ通信を保護するエンドツーエンド エンタープライズ セキュリティソリューションをご紹介いたします。 ★SSH Tectia 「セキュアなアプリケーション接続」ソリューションをご存知ですか? ★ブースにお越しいただいたお客様には、特別キャンペーン価格をご紹介致しますので、是非お立ち寄りください!─>> http://www.jp.ssh.com/company/events/────────────────────────────────SSH コミュニケーションズ・セキュリティ株式会社お問い合わせ 営業部 電話:03-3459-6830/メール: sales.jp@ssh.com
