セキュリティポリシー設定

セキュリティセクションには、セッション暗号化とログオンデータの暗号化を構成するためのポリシー設定が含まれています。

SecureICAの最小暗号化レベル

この設定は、サーバーとユーザーデバイス間で送信されるセッションデータを暗号化する最小レベルを指定します。

重要: Virtual Delivery Agent 7.xの場合、このポリシー設定は、RC5 128ビット暗号化によるログオンデータの暗号化を有効にするためにのみ使用できます。その他の設定は、Citrix Virtual Apps and Desktopsのレガシーバージョンとの下位互換性のためにのみ提供されています。

VDA 7.xの場合、セッションデータの暗号化は、VDAのデリバリーグループの基本設定を使用して設定されます。デリバリーグループでSecure ICAを有効にするが選択されている場合、セッションデータはRC5 (128ビット) 暗号化を使用して暗号化されます。デリバリーグループでSecure ICAを有効にするが選択されていない場合、セッションデータは基本暗号化で暗号化されます。

この設定をポリシーに追加するときは、オプションを選択します。

• Basicは、非RC5アルゴリズムを使用してクライアント接続を暗号化します。これにより、データストリームが直接読み取られるのを防ぎますが、復号化される可能性があります。デフォルトでは、サーバーはクライアント-サーバー間のトラフィックにBasic暗号化を使用します。
• RC5 (128ビット) ログオンのみは、RC5 128ビット暗号化を使用してログオンデータを暗号化し、Basic暗号化を使用してクライアント接続を暗号化します。
• RC5 (40ビット) は、RC5 40ビット暗号化を使用してクライアント接続を暗号化します。
• RC5 (56ビット) は、RC5 56ビット暗号化を使用してクライアント接続を暗号化します。
• RC5 (128ビット) は、RC5 128ビット暗号化を使用してクライアント接続を暗号化します。

クライアント-サーバー間の暗号化に指定する設定は、環境内の他の暗号化設定やWindowsオペレーティングシステムと相互作用する可能性があります。サーバーまたはユーザーデバイスのいずれかで、より高い優先度の暗号化レベルが設定されているとします。この場合、公開リソースに指定した設定が上書きされる可能性があります。

特定のユーザーの通信とメッセージの整合性をさらに保護するために、暗号化レベルを上げることができます。ポリシーでより高い暗号化レベルが必要な場合、より低い暗号化レベルを使用しているCitrix Receiversは接続を拒否されます。

SecureICAは認証を実行したり、データの整合性をチェックしたりしません。サイトにエンドツーエンドの暗号化を提供するには、SecureICAをTLS暗号化と組み合わせて使用します。

SecureICAはFIPS準拠のアルゴリズムを使用しません。この設定が問題となる場合は、SecureICAを使用しないようにサーバーとCitrix Receiverを構成してください。

SecureICAは、機密保持のためにRFC 2040で説明されているRC5ブロック暗号を使用します。ブロックサイズは64ビット（32ビットワード単位の倍数）です。キー長は128ビットです。ラウンド数は12です。

RC5ブロック暗号のキーは、セッションが作成されるときにネゴシエートされます。ネゴシエーションはDiffie-Hellmanアルゴリズムを使用して実行されます。このネゴシエーションでは、Diffie-Hellman公開パラメーターが使用されます。これらのパラメーターは、Virtual Delivery AgentがインストールされるときにWindowsレジストリに保存されます。公開パラメーターは秘密ではありません。Diffie-Hellmanネゴシエーションの結果は秘密キーであり、そこからRC5ブロック暗号のセッションキーが導出されます。ユーザーログオン用とデータ転送用に別々のセッションキーが使用されます。また、Virtual Delivery Agentとの間のトラフィックにも別々のセッションキーが使用されます。したがって、各セッションには4つのセッションキーがあります。秘密キーとセッションキーは保存されません。RC5ブロック暗号の初期化ベクトルも秘密キーから導出されます。