セグメント越えの通信についての解説

https://tech.nikkeibp.co.jp/it/article/COLUMN/20070926/282842/

IKEのメインモード、アグレッシブモードについて大まかな説明

http://program.sagasite.info/wiki/index.php?%E3%82%A2%E3%82%B0%E3%83%AC%E3%83%83%E3%82%B7%E3%83%96%E3%83%A2%E3%83%BC%E3%83%89

IKEメインモードの通信シーケンスについての説明

https://mabotan.web.fc2.com/image/IPsec-VPN.pdf

事前共有鍵
-フェーズ1で認証をする際に、
ハッシュ値の作成に事前共有鍵から作った鍵を使う

SKEYID_e鍵
IDとハッシュ値を暗号化するカギ。
この鍵の作成にも事前共有鍵が使われているらしい


Diffie-Hellman共有鍵-共通鍵
フェーズ2の通信の暗号化・復号に使用する


事前共有鍵について書かれているサイト
https://tech.nikkeibp.co.jp/it/article/COLUMN/20071012/284162/?P=4 

1.クライアントは、暗号スイートの候補およびクライアントが生成した乱数を送信する。

2.サーバは、実際に使用する暗号スイートを決定する。これをクライアントに送信する。同時にサーバが生成した乱数を送信する

3.サーバは、サーバ証明書を送信する

4.クライアントはサーバ証明書を用いてサーバを認証する。

5.クライアントは、プリマスタシークレットと呼ばれる乱数を生成する。この乱数からアプリケーション層の暗号化通信に用いる共通鍵が生成される。これをサーバの公開鍵で暗号化して送信する。

6.サーバは自分の秘密鍵で復号する事で、プリマスタシークレットを得る。この時点で、クライアントとサーバはプリマスタシークレットを共有する。

7.クライアントとサーバはそれぞれ手順1,2で生成し、交換した乱数およびプリマスタシークレットから、マスタシークレットを生成する。さらにマスタシークレットから共通鍵を生成する。

8.共通鍵を生成したクライアントとサーバは暗号化アルゴリズムの使用を開始することをお互いに通知し合う。この後全ての通信は暗号化される。

9.前述の一連のやり取りが攻撃者によって改竄されていないかを確認するため、クライアントとサーバはメッセージ認証コードを交換し合う。この時やりとりされるメッセージは暗号化されている。

※プリマスタシークレット、マスタシークレット、共通鍵の関係は、情報処理安全確保支援士の教科書542ぺーじ参照。

複雑すぎて覚えなくてもいい。