東芝情報システム株式会社

PQC対応IPsec 「Quantum Safe IPsec Toolkit」

Quantum Safe IPsec Toolkitは、耐量子コンピュータ暗号(PQC:Post Quantum Cryptography)をサポートする完全なIPsecソフトウェア実装を市場に初めて導入した製品です。 耐量子コンピュータ暗号モジュール(Quantum Safe Crypto Library)と統合でき、最新のセキュリティ製品には必須です。

Quantum Safe IPsec Toolkitは、QuickSec の伝統、経験、パフォーマンスに基づいて構築され、IPsec を量子安全時代へと導きます。あらゆる種類のクライアント/サーバーデバイスと通信し、既存のネットワークと相互運用する必要があるサーバーおよびクライアントに必要な100を超えるすべての関連するRFCと標準規格をサポートする完全で拡張性の高いIPsecです。Linuxカーネル標準のデータプレーンに対応しており、物理環境または仮想環境での高トラフィックが求められる用途に最適です。

動作の概要

Quantum Safe IPsec Toolkit はモジュール方式で設計されており、これらのモジュールが全体としてシームレスに動作します。実行時の設定オプションとして、C言語 APIとXML設定ファイルの2つを提供します。また、IKEライブラリ、データ プレーン API、ポリシー マネージャーAPIなど、複数の統合ポイントがあります。

お客様はさまざまな他のIPsec実装とシームレスに連携する必要がある製品を開発しているため、Quantum Safe IPsec Toolkit はQAプロセスの一環として相互運用性と互換性について徹底的にテストされています。

高度な機能

  • セッション確立に対する優れたパフォーマンス
    8コアCPUで2つの鍵交換 (ML-KEM-768 および ECDH) により、1秒あたり3500回のIPsecトンネルを確立可能。マルチコアアーキテクチャ上での張性に優れています。
  • トンネル数
    利用可能なコンピューティングリソースによってのみ制限されます。
  • 高可用性 (HA)
    HAは、RFC6311に基づくネイティブクラスタリング実装、またはIKEおよびIPsec SAのインポートとエクスポート用のAPIによって実現できます。
  • 簡単なデバッグ
    パフォーマンスに影響を与えることなく、大規模な展開で特定のトンネルの詳細なログを要求して問題を解決できます。
  • マルチテナント
    複数のネットワークまたは複数のオペレータのeNodeBサポートに対して、独立した重複する仮想ルーティングおよび転送 (VRF) インスタンスをサポートします。
  • 汎用データプレーンAPI
    LinuxカーネルのIPsecデータプレーンまたは同じAPIをサポートする他のデータプレーンと統合します。さらに、より高レベルの汎用データプレーンAPIにより、任意のIPsecデータプレーンとの統合が可能になります。
  • 外部暗号化API
    このAPIにより、サードパーティのハードウェア(HSM)またはソフトウェア暗号化モジュールの使用が可能になります。
  • IPsec境界
    IPsec境界を定義することにより、カーネル内でパケットに対してセキュリティポリシーを適用することができます。

大手企業は、クラウド、SASE、SD-WAN、エンタープライズ セキュリティ ゲートウェイ、高セキュリティ政府アプライアンス、大容量キャリア ゲートウェイ、eNodeB、組込みデバイス、プリンター/MFPの実装に使用しています。

提供内容

機能

  • 完全なIPsecおよびIKEクライアント/サーバーツールキット
  • 耐量子暗号化およびRFC
  • 高い相互運用性と標準準拠
  • アクティブ/スタンバイ クラスタリングによる高可用性
  • 比類のないトンネル セットアップ速度を備えた、市場で入手可能な最速のIKE実装
  • QuickSec 10より15%高速
  • スケーラビリティ: 100 万以上のIPsecトンネルでの展開
  • FIPS 140-2またはFIPS 140-3検証済み暗号化モジュールで利用可能
  • GPL制約のない、明確で移植性の高いCソース コードで記述
  • ルーティングインスタンスは、マルチテナント用にトラフィックを分離
  • 幅広いハードウェアおよびソフトウェア プラットフォームのサポート
  • GPLライセンスのオープンソースソフトウェアのより優れた商用代替品
  • 保守契約期間中はエンジニア レベルのサポートと定期的な更新を提供
  • 変更権限付きのソース コードとして提供

IKE(Internet Key Exchange)対応

  • IKEv2 (RFC 7296) 、IKEv2フラグメンテーション (RFC 7383) 、IKEv2リダイレクト (RFC 5685)
  • 複数の鍵交換 (RFC 9370) およびIKEv2での中間鍵交換 (RFC 9242)
  • ML-KEM (FIPS 203)
  • 証明書のML-DSA (計画中)
  • 高可用性 (RFC 6311)
  • トンネルモードとトランスポート モード
  • サイト間VPN
  • マルチテナント (VRF) -複数の仮想ルーティングおよび転送インスタンス
  • 署名認証 (RFC 7427)
  • MOBIKE (RFC 4555、RFC 4621)
  • IKEv1メインモードとアグレッシブモード
  • 完全転送秘密 (PFS) オプション
  • デッドピア検出 (DPD) 、NATトラバーサル (NAT-T)
  • 認証: 事前共有鍵 (PSK) 、XAUTH、証明書 (完全な PKI サポート) 、拡張認証プロトコル (EAPSIM、EAP-AKA、EAPMD5)、RADIUS、複数の認証 (RFC 4739)
  • IPv4およびIPv6のサポート: IPv4 over IPv6、IPv6 over IPv4、IPv6 over IPv6、DHCPv4およびDHCPv6
  • RSA、DSA、およびECDSA公開鍵アルゴリズム (IKE署名モードのみ)
  • NIST Special Pub. 800-131Aに準拠したIKEでのSHA2 の RSA署名サポート
  • RSASSA-PSS署名スキーム
  • Diffie-Hellman鍵交換アルゴリズム
  • 商用オプションとしてFIPS 140-2またはFIPS 140-3認定暗号に対応
  • リモートアクセスサポート: サーバーによって構成された仮想アダプタ
  • IPアドレス割り当て機能内蔵
  • 汎用Raw公開鍵 (RFC 7670) - RSA、DSA、ECDSA
  • 耐量子セキュリティのための IKEv2 での事前共有鍵の混在 (RFC 8784)

証明書と PKI 機能

  • X.509v3 (PKIX) 証明書プロファイルのサポート
  • X.509v3 (PKIX) 証明書失効リスト (CRL) のサポート
  • LDAPおよびHTTPを使用した証明書配布ポイントのサポート
  • OCSPを使用したオンライン証明書ステータス チェック
  • SCEPおよびCMPを使用した標準ベースの証明書管理のサポート
  • NIST Special Pub. 800-131Aに準拠した証明書のSHA2に対するRSA 署名のサポート

完全な IPsec 暗号化

  • 暗号アルゴリズム: AES、AES-CCM、AES-GCM、AES-GCM-64、GMAC-AES、3DES
  • MAC アルゴリズム: SHA-1、SHA-2、MD5、GMAC-AES、AES-XCBC
  • 非対称暗号化アルゴリズム: RSA、Diffie-Hellman、ECC DH、ECC DSA、PKCS#1、PKCS#5、PKCS#7、PKCS#8、PKCS#10、PKCS#12
  • 楕円曲線暗号: Brainpool 楕円曲線(RFC 5639、RFC6932)
  • ECDSA (RFC 4754) 、ECP グループ (RFC 5903) 、楕円曲線デジタル署名 (ECDS)

Quantum Safe IPsec Toolkit 概要資料  資料請求

Quantum Safe IPsec Toolkit 概要資料

クラウドおよび組込みセキュリティ用のIPsecクライアント/サーバーソフトウェアの製品概要、特長などを紹介しているリーフレットです。

お気軽にお問い合わせください。当社の製品・サービスは企業・団体・法人様向けに販売しております。

電話番号044-246-8320

受付時間:9:00~17:45
但し、土曜・日曜・祝日および当社休業日を除く