セキュリティ(1)
情報セキュリティ
PKI
PKI(公開鍵基盤)とは
公開鍵暗号方式の技術を応用した、セキュリティ基盤。PSA方式などの公開鍵暗号技術、SSLを組み込んだブラウザ、S/MIMEなどを使った暗号化電子メール、デジタル証明書を発行する認証局サーバなどが含まれる。電子商取引などを安全に実行できるようにするために考案された
暗号化技術
情報セキュリティを実現するため、情報を異なるデータに変換することを「暗号化」、暗号化されたデータを鍵を使ってを元にデータに戻すことを「復号化」、暗号文を不正に平文に戻すことを「解読」と呼ぶ
共通鍵暗号方式(秘密鍵暗号方式)
送信者と受信者で同じ鍵を使用する。代表的な方式に「DES方式」「AES方式」がある
|
●暗号化と復号の速度が速い ●共通鍵の転送時に共通鍵が漏えいする危険性をともなう ●通信相手ごとに別々の共通鍵を用意する必要がある |
公開鍵暗号方式
暗号化と復号に使用する鍵が異なる暗号方式。暗号化に使用する鍵を公開した方式。受信者の公開鍵を入手すれば、誰でも受信者に暗号文を送れるが、暗号文を復号化できるのは、公開鍵とペアになる秘密鍵を持つ受信者だけ。代表的な方式に、RSA暗号方式がある
|
●公開鍵を使うため、多数の送信相手と通信するのに適している ●鍵の管理が容易である ●暗号化と復号の速度が遅い |
★必要な鍵の数=2n
RSA
素因数分解の計算の困難さを利用した方式
ハイブリッド暗号方式
共通鍵方式と公開鍵暗号方式の長所を組み合わせて作られている仕組み
|
●処理が高速 ●鍵の管理・配布が容易 ●送信者が共通鍵を任意に作る ●その鍵を受信者の公開鍵で暗号化して送る |
デジタル署名
| ●送信者の秘密鍵を使って暗号化することで、送信者本人であることを証明 する ●送信後のメッセージダイジェストとメッセージ認証符号(送信前のメッセージ ダイジェスト)を比較することで、データが改ざんされていないことを保証 する |
通信のしくみ
デジタル署名の生成(Aさん)
1.公開鍵、秘密鍵を生成
2.公開鍵を公開する
3.署名する電子データからハッシュ関数を使いメッセージダイジェストを生成
4.生成したメッセージダイジェストを自分の秘密鍵で暗号化、署名を生成する
5.電子データと生成した署名をBさんに送信
デジタル署名の検証(Bさん)
6.受信した電子データからハッシュ関数を使いメッセージダイジェストを生成
7.受信した署名を、Aさんの公開鍵で復号、メッセージダイジェストを生成
8.(6)と(7)のメッセージダイジェストを比較し、完全に一致することを確認する
ハッシュ関数
入手したデータの長さにかかわらず一定の長さのビットパターンを生成する関数
確認できること:本人確認、データ改ざんの有無
GRL
失効したデジタル証明書のリスト。認証局(CA)や検証局(VA)が管理する
公開鍵証明書
ある公開鍵が、正当な所有者のものであることを、通信の当事者以外が証明するもの。公開鍵証明書の発行機関を認証局(CA)と呼ぶ
メッセージ認証コード(MAC)
共通鍵を用いたハッシュのこと。メッセージの完全性(改ざんや破損がないこと)を保証するために利用。共通鍵は、あらかじめ安全な方法で送信者と受信者の間で共有されている必要がある(第三者は知らない情報)。送信者は、尊信データと共通鍵を組み合わせたデータに対してハッシュ(MAC)を作成し、受信者に送る。受信者は、受信データと共通鍵を組み合わせたデータのハッシュを計算し、受け取ったMACと比較
| 署名 | MAC | |
|---|---|---|
| 目的 | 本人の確認 | 改ざんや破損がないこと |
| 鍵 | 秘密鍵 | 公開鍵 |
PKIを構成するセキュアプロトコル
セキュアプロトコルとは、通信経路上のセキュリティを確保しながら通信を行うための プロトコル
SSL
インターネットで広く使用されている通信の暗号化方式。WWWやFTPなどのデータを暗号化し、プライバシーにかかわる情報やクレジットカード番号、企業秘密などを安全に送受信することが可能。公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数などセキュリティ技術を組み合わせ、データの盗聴や改ざん、なりすましを防ぐことが可能。アプリケーション層のプロトコル
SET
インターネット上のクレジットカード決済の標準規格
HTTPS
Webのデータ転送に用いられるHTTPが、SSLやTLS暗号化されている状態を表したもの。WebサーバとWebブラウザの間の通信が暗号化されていることを意味し、通信経路上での盗聴や第三者によるなりすましを防止する
IPsec
IPレベルで暗号化と認証を行う。SSLは、電子メールやWWWなどの個々のアプリケーションでの暗号技術だが、IPsecは、TCP/IPプロトコルのIPパケットを丸ごと暗号化するので、多くのTCP/IPアプリケーションで利用可能。ネットワーク層のプロトコル
※利用例
●インターネットのVPNの構築
トンネリングモード
●社内LANの暗号化
トランスポートモード
IKE(Internet Key Exchange)
暗号化に使われる共通鍵を公開鍵暗号方式などで暗号化し、安全に共通鍵を相手に渡す
AH(Authentication Header)
IPパケットのメッセージ認証を行う。暗号化は行わない
ESP(Encaosulating Security Payload)
IPパケットの認証と安全性の確保に加え、暗号化を行う
S/MIME
電子メールで使用される公開鍵暗号方式のひとつ。MIMEにセキュリティ機能をつけたもの
SSH
遠隔地のコンピュータをリモートする捜査をする際の暗号化と認証のプロトコル
ユーザ認証
SMTP-AUTH認証
RFC2554によって規定されている、SMTPにユーザ認証機能を追加した仕様する。メール受診の際にSMTPサーバとクライアントの間でユーザアカウントとパスワードの認証を行い、認証された場合のみメーるの送信を許可する。サーバとクライアントの双方が対応していなければならない
APOP
電子メールの受信に使われるパスワードを暗号化する認証方式。その値でユーザ認証をおこなう
シングルサインオン
ユーザが一度認証するだけで、許可されているすべての機能を利用できるようになるシステム。パスワードを要求するWebサイトの増加やネットワークの大規模化などから、最近になって需要が増えつつある
SAML
認証情報を表現するためのXML仕様。ユーザ認証や属性、アクセス情報を記述するマークアップ言語で、WebサイトやWebサービスが利用できるシングルサインオンを実現できる
EAP-TLS
PPPやIEEE802.1Xで用いられる認証方式「EAP」(Extensible Authentication Protocol)の実装の一種で、IDやパスワードではなくデジタル証明書の やり取りによって認証を行う方式
