インターネット概論 第07回(2004/11/12) 「SFC-CNSの現状」

インターネット概論

第07回(2004/11/26)

「パーソナル・セキュリティ」

2004/11/26 インターネット概論 2004年度秋学期 2

2004年度秋学期授業日程

10/01 (1) 講義概要/P2Pと著作権 10/08 (2) アナログとデジタル 10/15 (3) 通信のインフラストラクチャ/パケットの旅 10/22 (4) ホスト名とIPアドレス 10/29 (5) 家庭からインターネット 11/05 (6) 家庭/旅先からインターネット 11/12 (7) 僕らのインターネット/SFC-CNS 11/19 三田祭 11/26 (8) パーソナル・セキュリティ 12/03 (9) IPv6 12/10 (10) インターネットの歴史と標準化 12/17 (11) 実空間ネットワーキング 12/24 冬休み 12/31 冬休み 01/07 (12) ゲストスピーカによる講演 01/14 (13) 最終試験 今日はここです インターネット概論はすべて金曜日3 限に開講されます。 インターネット概論はすべて金曜日3 限に開講されます。

2004/11/26 インターネット概論 2004年度秋学期 3 第1回課題について • SFC 以外の適当な場所で IEEE802.11b の無線 基地局を探し、PC が繋がるかどうかを調べてく ださい。 • 隣家の無線 LAN が見えるかどうかを調べるのも いいですし、各自が買っている無線 LAN サービ スを使っても構いません。 • 結果と感想をレポートにまとめ、SOIで提出してく ださい。文字数に制限はありません。 • 〆切り： Wed Dec 02 23:59:59 JST 2004

2004/11/26 インターネット概論 2004年度秋学期 4 第1回課題についての注意点 • 無線 LAN の接続 (Layer 2) と IP アドレスの取得 (Layer 3) の違いを考慮したうえで通信品質や、 繋げるための情報をどのように入手したかなどに も触れてください。 • ただし、この課題が広く公開されることに注意し、 個人を特定できるような IP アドレスや ESS-ID の扱いには気をつけてください。 • 無線 LAN を使えない学生は、友達と一緒に調べ てそれぞれのレポートに仕上げるか、メディアセ ンターでノート PC の貸し出しを受けてください。

2004/11/26 インターネット概論 2004年度秋学期 6

セキュリティとは？

• 辞書を引くと-> – 【名-1】セキュリティ、安心、安全（性）、安全保障、安 全確保、保障、防衛手段、警備、防護、防衛、保全、 保安、無事、治安 • コンピュータのセキュリティ(安全保障) – 何かを、保護・確保・保証・識別・認証・制限する – なにかとは？ ->(次のスライド) • 今日のフォーカス : パーソナル･セキュリティ – 個人として守る必要があること – 友達に迷惑をかけたり、自分が困ったりしないように

2004/11/26 インターネット概論 2004年度秋学期 7

何を守るか？(主要なもの)

情報の適切な管理 機密性の確保/ 完全性の保証 ？ –ディスク上のデータを第3者が 見られない –通信系路上で第3者が情報を 覗き見られない –改ざんされていないかチェック –通信している相手が確かに自 分の考えている相手か？ –サーバの認証 –メール，WWWサーバの認証， リモートログイン 通信相手の識別・認証 –資源割り当て –CPUパワー，回線帯域 –ディスクスペース –DoS対策 重要なリソースの保護 –利用者を一意に識別 –本人確認 –利用者のセキュリティ属性 –システムへのアクセス制限 ユーザー識別/認証/ アクセス制限 –データ秘匿 –データへのアクセ ス制限 –データ保全

2004/11/26 インターネット概論 2004年度秋学期 8

セキュリティと考察の視点

• バランス感覚が重要 – 安全性を高めれば，使い づらくなら – 使いやすくし過ぎれば，安 全でなくなる • 事例ごとに考える->使い にくくなってはだめ – 電子メールのセキュリティ – WEBのセキュリティ – リモートログインのセキュリ ティ • セキュリティは多様 – それぞれが相互に影響・ 補完 – それぞれが必要な「安全」 を提供 セキュリティ構造の一例: 社会基盤としてのセキュリティ ホスト セキュリティ ネットワーク セキュリティ _情報 の セキュリティ 使い易さ 安全性

2004/11/26 インターネット概論 2004年度秋学期 9

セキュリティ要件 Common Criteria(CC)

• 国際的なIT セキュリティ評価基準 • ISO/IEC15408(JISX5070) 機能項目 機能概要 利用者の識別と認証 利用者を一意に識別するための機能，本人であることを確認 するための機能，利用者のセキュリティ属性を管理するため の機能ほか システムへのアクセス管理 システム利用に関する情報の表示機能，利用中断時のロッ ク機能，同一利用者による同時セッション数の管理機能ほか データへのアクセス管理 アクセス権限のチェック機能，データの秘匿機能，データの保 全機能，記憶媒体上のデータの後始末管理機能ほか 監査 監査用ログデータの収集機能，監査用ログデータに対する 保全機能，監査用ツール，監査業務機能ほか 保全管理 セキュリティ機構の保全，システムやデータ保管媒体の二重 化機能，障害からの回復機能，信頼性確認機能ほか 信頼パス 利用者とシステム間との安全な通信路を確保するための機 能・機構 資源の利用管理 フォールトトランス機能，資源の割当管理機能ほか データ通信 通信データの秘匿機能，通信データの保全機能

セキュリティ実現のための基礎技術

暗号技術と認証技術

2004/11/26 インターネット概論 2004年度秋学期 12

共有鍵暗号方式

• 送信者と受信者は暗号・復号に同じ鍵を使う • 処理速度は比較的速い • 送信者と受信者間の鍵の受け渡しが問題 • 複数人の間で鍵を安全に共有するのが面倒 暗号化・復号化に 同じ鍵を用いる 暗号化 復号化

2004/11/26 インターネット概論 2004年度秋学期 13

DES

• Data Encryption Standard

– 米商務省標準局が標準化 – 最近までのスタンダードな暗号アルゴリズム • DESのデザインポリシー – ハードウェアでの実装を主眼に – ソフトウェアでの実装を難しく • 56bitの固定長の鍵長 – コンピュータの計算能力の向上により不十分に – 1999年の暗号解読コンテストでは22時間15分で解読

2004/11/26 インターネット概論 2004年度秋学期 14

AES

• Advanced Encryption Standard

– DESの後継となる標準的な暗号アルゴリズム • 128bit長のブロック • 2000年10月RijndaelがAESとして採用された • デザインポリシー – 可変長の鍵 – ハード・ソフトで実装可能に – ロイヤリティフリー ブロック長（128bit) 鍵長（128bit) 鍵長（196bit) 鍵長（256bit) 196bit 256bit AESの暗号化操作におけるラウンド数 10 12 14 12 12 14 14 14 14

2004/11/26 インターネット概論 2004年度秋学期 15

公開鍵暗号のデザイン

• 「鍵を相手にいかに安全に渡すか」が、問題 • 1975年に「公開鍵暗号」の概念が出る – 「暗号」のパラダイムシフト 共通鍵 暗号 復号 ペア 同じ 公開鍵 _秘密鍵 共通鍵暗号 公開鍵暗号

2004/11/26 インターネット概論 2004年度秋学期 16

RSA

• R.Rivest, A.Shamir, L.Adelmanの三人による実装 • 公開鍵暗号の実装 • 「オイラーの定理」と「２つの素数」 – 大きな数の素因数分解の難しさ M M＾e(mod n) 復号化 [d乗]復号化 [d乗] 暗号化 [e乗] 暗号化 [e乗] C _{C : 暗号文} M : 平文 ある長さのビット列を2進数 表現による整数とみなす (例 101→5) M = C＾d(mod n) = (M^e_）^d _{(mod n)} = M^ed (mod n) = M (mod n) 公開鍵 ･･････ (n, e) 秘密鍵 ･･････ (n, d) 公開鍵 ･･････ (n, e) 秘密鍵 ･･････ (n, d) n = p * q (p と q は両方とも 大きな素数) φ(n) = (p-1)(q-1) gcd(φ(n), e) = 1; 1 < e < φ(n) d = e^-1 _{(mod φ(n))}

2004/11/26 インターネット概論 2004年度秋学期 18

認証

コンピュータは利用者をどのように判別すればよいだろうか？

2004/11/26 インターネット概論 2004年度秋学期 19

認証技術の変遷

• 平文パスワード認証

– 普通にパスワードを送って認証

• ハッシュ関数を使った認証 • Challenge & Response

– サーバからの challenge を暗号化して返信

• OTP

– 使い捨てのパスワード

• IPアドレスによる認証 • 時間にもとづく認証

2004/11/26 インターネット概論 2004年度秋学期 20

認証技術で気をつけること

• 認証(authentication)と認可(authorization) – 認証は「この人は本当に誰なのか」確認する作業 – 認可は「こういう人はこれこれをして良い」と許可する こと – 人によってできることは違うので 認証 ≠ 認可 (例) Aです Bです 認証 Aさんは 閲覧だけ 認可 Bさんは 編集もOK

2004/11/26 インターネット概論 2004年度秋学期 21

メッセージダイジェスト関数

• 不定長のデータを固定長に変換する関数 – 変換結果の固定長のデータ→ハッシュ値 • もとのデータを逆算しにくい • あるデータからは必ず同じハッシュ値 • MD2，MD5，SHA1 MD関数 逆算不可能 ダイジェスト

2004/11/26 インターネット概論 2004年度秋学期 22

メッセージダイジェスト関数と認証

2. 暗号化された ハッシュ値と メッセージを送る 2. ハッシュ値と メッセージを送る 4. ハッシュの結果 を比較する 3. 送られてきたハッシュ値を同じ鍵で復号化 4. 手元で生成した ハッシュ値と比較 1. ハッシュの結果を パスワードで暗号化する MD関数 MD関数 1. パスワードを付け てハッシュする 3. 同じパスワードで ハッシュを作る 1 2 送信ホスト 受信ホスト 送信ホスト 受信ホスト ? ? ? ? メッセージ ハッシュ値 暗号化された ハッシュ値 パスワード ? ?

2004/11/26 インターネット概論 2004年度秋学期 23

Challenge & Response

(1) challenge(乱数） (3) response クライアント サーバ (2) 乱数を 暗号化する (4)サーバが暗号化した ものと照らし合わせる 暗号化したものの結果が同じであればお互い に同一の鍵を持っていることが分かる

2004/11/26 インターネット概論 2004年度秋学期 24

OTP (One Time Password)

• 一度しか使用できないパスワード • 盗み見に対応できる

• Challenge & Response を利用

「パスフレーズを k 回 ハッシュしたものを送れ」 ログインN回目 クライアント Pass Phrase 「これです」 Pass Phrase サーバ 「パスフレーズを k-1 回 ハッシュしたものを送れ」 クライアント Pass Phrase ログインN+1回目 「これです」 Pass Phrase サーバ

2004/11/26 インターネット概論 2004年度秋学期 26

パーソナル・セキュリティの分類

• 自分をまもる • 通信路をまもる • 情報の確からしさの保証 1自分をまも る 2通信網の保証 3確からしさの保証

2004/11/26 インターネット概論 2004年度秋学期 28

最近のウイルス事例 その1 Swen

• 2003年の9月ごろに発見されたコンピュータウイルス

– マイクロソフト セキュリティ情報 MS01-020 に記載されている脆弱性を悪 用して、Outlook や Outlook Express のプレビューウィンドウにメッセージを 表示させるだけで自動的に感染する。 • 感染方法 – E-Mail による感染、拡大 – IRC チャネルに接続し、ユーザが参加しているチャネルに参加している他 のユーザにワームを送信 – P2P ファイル共有システムである「KaZaA」を利用してウイルスを頒布 – 共有ドライブにウイルス自身をコピー – News Group に投稿 • ウイルスが送信するメールはマイクロソフトからのセキュ リティ情報かのように装って送られてくることがある。 – マイクロソフトが電子メールで直接ソフトウェアを配布することは一切ない ので注意！！

2004/11/26 インターネット概論 2004年度秋学期 29 最近のウイルス事例 その2 Blaster • 2003年の8月12日午前2時よりWindowsを対象として被害を拡大さ せたワーム – Windows OS の、TCP135 ポート (Microsoft RPC) の脆弱性を悪用した攻撃データ を送信する – MS03-026 の脆弱性の対策がされていない Windows OS は、攻撃を受け “感染” し、自らが攻撃者となり他のシステムに対して “感染” 活動を開始する。

2004/11/26 インターネット概論 2004年度秋学期 30

自分のマシンを守る

• セキュリティ・パッチをあてる – 買ったままの状態のOSやアプリケーションにはどうし てもセキュリティ・ホールが存在する – セキュリティ・ホールが発見されるたびに穴をふさぐ 必要がある

– 例：windows update, live update(symantec)

• パーソナルセキュリティ製品

– Personal Firewall：Norton Internet Security, WinXPの firewall機能など

– Virus Checker：Norton Anti-Virus, TrendMicro ウイ ルスバスターなど

2004/11/26 インターネット概論 2004年度秋学期 31

セキュリティ・パッチをあてる

• Windows Update • Windowsにセキュリティ・パッ チをあてる • コンピュータを最新の状態に 保つようにする Windows のオ ンラインの拡張機能

2004/11/26 インターネット概論 2004年度秋学期 32

パーソナルファイアウォール(1/3)

• Windows XP に標準で付属 • Firewallの機能を提供 • コントロールパネル 1. ネットワーク接続 2. 各接続のプロパティ 3. 「詳細設定」タブ 4. “インターネットからこの コンピュータへのアクセ ス.….”をチェック 5. 設定

2004/11/26 インターネット概論 2004年度秋学期 33

WindowsXPの簡易ファイアウォール

• ネットワークからやってくるパケットをフィルタリン グできる

2004/11/26 インターネット概論 2004年度秋学期 34

パーソナルファイアウォール(2/3)

• Norton Internet Security

– http://www.symantec.com/region/jp/products/nis/ – 最新のウイルス対策強化、スパムメール対策機能追加など

2004/11/26 インターネット概論 2004年度秋学期 35

パーソナルファイアウォール(3/3)

• TREND MICRO ウイルスバスター – http://www.trendmicro.co.jp/product/vb2003/index.aspu – MSBlast（エムエスブラスト）やNimda(ニムダ)のような、セキュリティホール を悪用して感染を拡大する「ネットワークウイルス」のセキュリティ強化 • アクセス制限 • ウィルス感染自動修復 • ウイルスアウトブレーク緊急警告

2004/11/26 インターネット概論 2004年度秋学期 36

パーソナルファイアウォールがあれば安全？

• そうともいえない • 例:

– DoSアタック(DoS = Denial of Service) – パケットはPC内のFWで落とされる

• PCまでは到達している

– フィルタするために処理が必要

2004/11/26 インターネット概論 2004年度秋学期 37

定期健診(1)

• Symantec Security Check

2004/11/26 インターネット概論 2004年度秋学期 38

定期健診(2)

2004/11/26 インターネット概論 2004年度秋学期 39

オンラインスキャンはあくまで簡易版

• 検出はできても削除できないこともある • 製品を購入しないと削除できない • 無料 • ちゃんとしたウィルス・チェッカ製品 – パターンファイルをインターネット経由で更新 – 新しい型のウィルスを24時間体制で監視、対策を講 じてくれる