コモン クライテリア認定用の SSH アルゴリズムに関する情報
ここでは、コモンクライテリア認定のセキュアシェル(SSH)アルゴリズム、Cisco IOS SSH サーバアルゴリズム、および Cisco IOS SSH クライアントアルゴリズムについて説明します。
コモン クライテリア認定用の SSH アルゴリズム
セキュア シェル(SSH)設定によって、Cisco IOS SSH サーバおよびクライアントは、許可リストから設定されたアルゴリズムのネゴシエーションのみを許可することができます。リモート パーティが許可リストに含まれていないアルゴリズムのみを使用してネゴシエートしようとすると、要求は拒否され、セッションは確立されません。
Cisco IOS SSH サーバ アルゴリズム
Cisco IOS セキュア シェル(SSH)サーバは、次の順序で暗号化アルゴリズム(Advanced Encryption Standard カウンタ モード [AES-CTR]、AES 暗号ブロック連鎖 [AES-CBC]、Triple Data Encryption Standard [3DES])をサポートします。
サポートされるデフォルトの暗号化の順序:
-
aes128-gcm
-
aes256-gcm
-
aes128-ctr
-
aes192-ctr
-
aes256-ctr
サポートされるデフォルト以外の暗号化の順序:
-
aes128-cbc
-
aes192-cbc
-
aes256-cbc
-
3des
Cisco IOS SSH クライアントは、次の順序でメッセージ認証コード(MAC)アルゴリズムをサポートします。
サポートされるデフォルトの HMAC の順序:
-
hmac-sha2-256
-
hmac-sha2-512
Cisco IOS SSH クライアントがサポートするホストキーアルゴリズムは 1 つのみで、CLI 設定は必要ありません。
サポートされるデフォルトのホストキーの順序:
-
x509v3-ssh-rsa
-
ssh-rsa
Cisco IOS SSH クライアント アルゴリズム
Cisco IOS セキュア シェル(SSH)クライアントは、次の順序で暗号化アルゴリズム(Advanced Encryption Standard カウンタ モード [AES-CTR]、AES 暗号ブロック連鎖 [AES-CBC]、Triple Data Encryption Standard [3DES])をサポートします。
サポートされるデフォルトの暗号化の順序:
-
aes128-gcm
-
aes256-gcm
-
aes128-ctr
-
aes192-ctr
-
aes256-ctr
サポートされるデフォルト以外の暗号化の順序:
-
aes128-cbc
-
aes192-cbc
-
aes256-cbc
-
3des
Cisco IOS SSH クライアントは、次の順序でメッセージ認証コード(MAC)アルゴリズムをサポートします。
サポートされるデフォルトの HMAC の順序:
-
hmac-sha2-256
-
hmac-sha2-512
Cisco IOS SSH クライアントがサポートするホストキーアルゴリズムは 1 つのみで、CLI 設定は必要ありません。
サポートされるデフォルトのホストキーの順序:
-
x509v3-ssh-rsa
-
ssh-rsa