8.3.3. Policy, Security Associations, and Cryptographic Key Management
8.3.3. 정책, 보안 연관 및 암호화 키 관리
A compliant iSCSI implementation MUST meet the cryptographic key management requirements of the IPsec protocol suite.
규정을 준수하는 iSCSI 구현은 IPsec 프로토콜 제품군의 암호화 키 관리 요구 사항을 충족해야 합니다.
Authentication, security association negotiation, and cryptographic key management MUST be provided by implementing IKE [RFC2409] using the IPsec DOI [RFC2407] with the following iSCSI specific requirements:
인증, 보안 연결 협상 및 암호 키 관리는 다음 iSCSI 특정 요구 사항과 함께 IPsec DOI [RFC2407]을 사용하여 IKE [RFC2409]를 구현하여 제공되어야 합니다:
- Peer authentication using a pre-shared cryptographic key MUST be supported.
- 사전 공유된 암호화 키를 사용하는 피어 인증이 지원되어야 합니다.
Certificate-based peer authentication using digital signatures MAY be supported.
디지털 서명을 사용한 인증서 기반 피어 인증이 지원될 수 있습니다.
Peer authentication using the public key encryption methods outlined in IKE sections 5.2 and 5.3[7] SHOULD NOT be used.
IKE 섹션 5.2 및 5.3[7]에 설명된 공개 키 암호화 방법을 사용하는 피어 인증은 사용하면 안 됩니다.
- When digital signatures are used to achieve authentication, an IKE negotiator SHOULD use IKE Certificate Request Payload(s) to specify the certificate authority.
- 인증을 달성하기 위해 디지털 서명을 사용할 때 IKE 협상자는 IKE 인증서 요청 페이로드를 사용하여 인증 기관을 지정해야 합니다.
IKE negotiators SHOULD check the pertinent Certificate Revocation List (CRL) before accepting a PKI certificate for use in IKE authentication procedures.
IKE 협상자는 IKE 인증 절차에 사용할 PKI 인증서를 수락하기 전에 관련 인증서 해지 목록 (CRL)을 확인해야 합니다.
- Conformant iSCSI implementations MUST support IKE Main Mode and SHOULD support Aggressive Mode.
- 준수 iSCSI 구현은 IKE 기본 모드를 지원해야 하며 공격적 모드를 지원해야 합니다.
IKE main mode with pre-shared key authentication method SHOULD NOT be used when either the initiator or the target uses dynamically assigned IP addresses.
사전 공유 키 인증 방법을 사용하는 IKE 기본 모드는 이니시에이터 또는 타겟이 동적으로 할당된 IP 주소를 사용할 때 사용하면 안 됩니다.
While in many cases pre-shared keys offer good security, situations in which dynamically assigned addresses are used force the use of a group pre-shared key, which creates vulnerability to a man-in-the-middle attack.
대부분의 경우 사전 공유 키는 우수한 보안을 제공하지만 동적으로 할당된 주소가 사용되는 상황에서는 그룹 사전 공유 키를 강제로 사용하게 되어 중간자 공격에 취약해집니다.
- In the IKE Phase 2 Quick Mode, exchanges for creating the Phase 2 SA, the Identity Payload, fields MUST be present.
- IKE 2단계 빠른 모드에서는 2단계 SA, ID 페이로드 생성을 위한 교환 필드가 있어야 합니다.
ID_IPV4_ADDR, ID_IPV6_ADDR (if the protocol stack supports IPv6) and ID_FQDN Identity payloads MUST be supported; ID_USER_FQDN SHOULD be supported.
ID_IPV4_ADDR, ID_IPV6_ADDR(프로토콜 스택이 IPv6를 지원하는 경우) 및 ID_FQDN ID 페이로드는 지원되어야 합니다; ID_USER_FQDN도 지원되어야 합니다.
The IP Subnet, IP Address Range, ID_DER_ASN1_DN, and ID_DER_ASN1_GN formats SHOULD NOT be used.
IP 서브넷, IP 주소 범위, ID_DER_ASN1_DN 및 ID_DER_ASN1_GN 형식은 사용하면 안 됩니다.
The ID_KEY_ID Identity Payload MUST NOT be used.
ID_KEY_ID ID 페이로드는 사용하면 안 됩니다.
Manual cryptographic keying MUST NOT be used because it does not provide the necessary re-keying support.
수동 암호화 키잉은 필요한 키 재설정 지원을 제공하지 않으므로 사용해서는 안 됩니다.
When IPsec is used, the receipt of an IKE Phase 2 delete message SHOULD NOT be interpreted as a reason for tearing down the iSCSI TCP connection.
IPsec이 사용되는 경우 IKE 2단계 삭제 메시지 수신이 iSCSI TCP 연결을 끊는 이유로 해석되어서는 안 됩니다.
If additional traffic is sent on it, a new IKE Phase 2 SA will be created to protect it.
추가 트래픽이 전송되면 이를 보호하기 위해 새로운 IKE Phase 2 SA가 생성됩니다.
The method used by the initiator to determine whether the target should be connected using IPsec is regarded as an issue of IPsec policy administration, and thus not defined in the iSCSI standard.
IPsec을 사용하여 대상을 연결해야 하는지 여부를 결정하기 위해 초기자가 사용하는 방법은 IPsec 정책 관리의 문제로 간주되므로 iSCSI 표준에는 정의되어 있지 않습니다.
If an iSCSI target is discovered via a SendTargets request in a discovery session not using IPsec, the initiator should assume that it does not need IPsec to establish a session to that target.
IPsec을 사용하지 않는 검색 세션에서 SendTargets 요청을 통해 iSCSI 타겟이 검색된 경우 이니시에이터는 해당 타겟에 대한 세션을 설정하는 데 IPsec이 필요하지 않다고 가정해야 합니다.
If an iSCSI target is discovered using a discovery session that does use IPsec, the initiator SHOULD use IPsec when establishing a session to that target.
IPsec을 사용하는 검색 세션을 사용하여 iSCSI 타겟이 검색된 경우 이니시에이터는 해당 타겟에 대한 세션을 설정할 때 IPsec을 사용해야 합니다.