山本和彦
IIJ 技術研究所
BSD Magazine No. 3 (2000/03)
今回は KAME プロジェクトの延長とIPsec の開発状況について報告します。
早いもので、当初 KAME プロジェクトの終了を予定していた2000年3月31日をもうすぐ迎ようとしています。
この 2 年間の KAME プロジェクトの活動は、 実装という視点からとらえると、 大成功であったと言ってよいでしょう。 Free/Net/OpenBSD の current には、すでに KAME が取込まれています。 また、BSD/OS へも近日中にマージされる予定です。
これは、仕様への追従の速さや、コードの質、 利用できるアプリケーションの数などが評価されてのことでしょう。 また、ライバル(プログラマ同士は仲よしです)であった NRL や INRIA が、IPv6 の開発を続けていくことが困難になったことも理由に挙げられます。
一方、IPv6 の普及という視点から見ると、 残念ながら 2 年前の予想よりも遅れていると言わざるを得ません。 IPv6 の普及は悪循環に陥っていたと思います。
ユーザにとっては使おうにも ISP がサービスをしていません。 ISP にとっては、ユーザからの利用要求が少いですし、 ルータベンダが安定した IPv6 対応のファームウェアを提供してくれません。 ルータベンダからすれば、ISP からの要望が少いので、 開発の優先順位を上げられない、という具合いです。
KAME の成功は、IPv6 コミュニティに大きな自信を与えたと思います。 ユーザ環境が整うにつれて悪循環も次第に解消されていくでしょう。 この意味では次の 2 年間が IPv6 にとって勝負の時期になります。 この重要な時期に KAME プロジェクトが終了するのは、 IPv6 コミュニティにとって大変な痛手です。
そこで、KAME プロジェクトに参加している7 社のご理解とご協力を得て、 KAME プロジェクトを 2 年間延長することになりました。 次の 2 年間は、開発も今まで通りに活発に続けていきますが、 普及という点にも力を入れる予定です。
どうも、IPv6 にはキラーアプリケーションが必要なようです。 IPv4 では実現できない、 つまりグローバルな空間に多くのアドレスを必要とするアプリケーションです。 個人的には、携帯電話、自動車、家電、SOHO、ゲーム機などへの応用に興味があります。
次期の体制は、現在まだはっきりしない部分があります。 決り次第、このコラムで報告します。
IPsec は、暗号エンジンと鍵交換機構に大別できます。 暗号エンジンは、さらにどのパケットを暗号化するかなどのポリシ機構、 認証ヘッダ(AH)や暗号ペイロード(ESP)作成器に別れます。
KAME では、暗号エンジンをカーネルで実現しています。 鍵交換機構はデーモンとして実装しており、 その名を racoon といいます。 KAME の IPsec は現時点でも十分に実用的です。
KAME プロジェクトでは、鍵交換デーモンと暗号エンジンの関係を、 経路制御デーモンと経路表の関係に近づけるのが理想だと考えています。 すなわち、鍵交換デーモンの設定ファイルだけを記述すれば、 IPsec に関する残りのすべてのことを鍵交換デーモンが処理してくれるというイメージです。
残念ながら本稿の執筆時点では、 利用者はポリシと鍵交換デーモンを別々に設定する必要があります。 (gated.conf を書いたのに、route コマンドを使っている感じです。:-)
現在この理想に近づけるために、開発を進めています。 最近、これまでの出力ポリシに加えて、入力ポリシが設定できるようになりました。 また、公開鍵暗号による認証の準備として、 鍵交換デーモンの設定ファイルの書式を拡張しました。
これから、(1) 鍵交換デーモンの公開鍵暗号による認証、 (2) 鍵交換デーモンによるポリシの設定の順に実装を進めていく予定です。