セキュリティポリシー設定

セキュリティセクションには、セッション暗号化とログオンデータの暗号化を構成するためのポリシー設定が含まれています。

SecureICAの最小暗号化レベル

この設定は、サーバーとユーザーデバイス間で送信されるセッションデータを暗号化する最小レベルを指定します。

重要: Virtual Delivery Agent 7.xの場合、このポリシー設定は、RC5 128ビット暗号化によるログオンデータの暗号化を有効にするためにのみ使用できます。その他の設定は、以前のバージョンのCitrix Virtual Apps and Desktopsとの下位互換性のためにのみ提供されています。

VDA 7.xの場合、セッションデータの暗号化は、VDAのデリバリーグループの基本設定を使用して設定されます。デリバリーグループでSecure ICAを有効にするが選択されている場合、セッションデータはRC5 (128ビット) 暗号化を使用して暗号化されます。デリバリーグループでSecure ICAを有効にするが選択されていない場合、セッションデータは基本暗号化で暗号化されます。

この設定をポリシーに追加する際、オプションを選択してください:

• 基本は、RC5以外のアルゴリズムを使用してクライアント接続を暗号化します。データストリームが直接読み取られるのを防ぎますが、復号化される可能性があります。デフォルトでは、サーバーはクライアント-サーバー間のトラフィックに基本暗号化を使用します。
• RC5 (128ビット) ログオンのみは、RC5 128ビット暗号化を使用してログオンデータを暗号化し、基本暗号化を使用してクライアント接続を暗号化します。
• RC5 (40ビット) は、RC5 40ビット暗号化を使用してクライアント接続を暗号化します。
• RC5 (56ビット) は、RC5 56ビット暗号化を使用してクライアント接続を暗号化します。
• RC5 (128ビット) は、RC5 128ビット暗号化を使用してクライアント接続を暗号化します。

クライアント-サーバー間の暗号化に指定する設定は、環境内の他の暗号化設定やWindowsオペレーティングシステムと相互作用する可能性があります。サーバーまたはユーザーデバイスのいずれかで、より優先度の高い暗号化レベルが設定されている場合を考慮してください。この場合、公開リソースに指定した設定が上書きされる可能性があります。

特定のユーザーの通信とメッセージの整合性をさらに保護するために、暗号化レベルを上げることができます。ポリシーがより高い暗号化レベルを要求する場合、低い暗号化レベルを使用しているCitrix Receiverは接続を拒否されます。

SecureICAは認証を実行したり、データ整合性をチェックしたりしません。サイトにエンドツーエンド暗号化を提供するには、SecureICAをTLS暗号化と組み合わせて使用してください。

SecureICA は FIPS 準拠のアルゴリズムを使用しません。この設定が問題となる場合は、サーバーと Citrix Receiver を SecureICA を使用しないように構成してください。

SecureICA は、機密保持のために RFC 2040 で説明されている RC5 ブロック暗号を使用します。ブロックサイズは 64 ビット（32 ビットワード単位の倍数）です。キー長は 128 ビットです。ラウンド数は 12 です。

RC5 ブロック暗号のキーは、セッションが作成されるときにネゴシエートされます。ネゴシエーションは Diffie-Hellman アルゴリズムを使用して実行されます。このネゴシエーションでは、Diffie-Hellman 公開パラメーターを使用します。これらのパラメーターは、Virtual Delivery Agent がインストールされるときに Windows レジストリに保存されます。公開パラメーターは秘密ではありません。Diffie-Hellman ネゴシエーションの結果は秘密キーであり、そこから RC5 ブロック暗号のセッションキーが導出されます。ユーザーログオンとデータ転送には、個別のセッションキーが使用されます。また、Virtual Delivery Agent との間のトラフィックにも個別のセッションキーが使用されます。したがって、各セッションには 4 つのセッションキーがあります。秘密キーとセッションキーは保存されません。RC5 ブロック暗号の初期化ベクトルも秘密キーから導出されます。