PowerPoint プレゼンテーション

22 

Loading....

Loading....

Loading....

Loading....

Loading....

全文

(1)

1.認証(authentication)とは

(1)本物、本人であることを確認すること

送られた注文書は本物か

・パソコンやサーバへログインしたのは本人か

・メールを送信したのは本人か、など

(2)認証の方法

①本物認証:

電子署名

ディジタル署名

②ユーザ認証:

ユーザID+パスワード

バイオメトリクス

(生体)認証

(2)

2.電子署名(ディジタル署名)

(1)本人作成の文書であることを受信者が確認できる仕組み。

手書きの署名や押印に相当。

(2)

公開鍵暗号方式

を利用。送信者は自分の秘密鍵Asで暗号化、

受信者はAsとペアで管理されている公開鍵Apで復号化(解読)。

→解読できたら、送信者本人が作成の文書と確認

文書

Aさん

Bさん

注文書、

メール、

など

文書

Apで解読できたら、

Aさん作成の文書

と認証

(3)

※ 公開鍵方式による暗号通信(復習)

Aさん

Bさん

(Ks(A)、Kp(A))

(Ks(B)、Kp(B))

秘密鍵

公開鍵

秘密鍵

公開鍵

暗号化されたメール

どの鍵を

使う?

どの鍵を

使う?

Aさんがペアで管理

している

Bさんがペアで管

理している

(4)

3.電子署名の実際

❒注文書の暗号処理に時間がかかるため、その

ハッシュ値

を求め、それに署名

ハッシュ

関数

注文書

など

注文者(A氏)

署名検証

(ハッシュ値

比較)

(A氏)

署名付

ハッシュ値

復号化

手順

公開鍵

Kp(A)

暗号化

手順

秘密鍵

Ks(A)

鍵(Ks、Kp)

を管理

A氏から

入手

ハッシュ

関数

ハッシュ値

業者など

注文書

など

ハッシュ値

ハッシュ値

例.MD5

例.MD5

(5)

参考 ハッシュ関数の例

・・・

・・・

・・・

入力バイト列

64B

64B

64B

64B

64B

64B

64B

64B

64B

56B

①パディング

処理

②入力バイト列の

長さ情報付加

64B

8B

③MDバッファ

(32ビット×4個)

の初期化

④64Bブロックずつ

逐次取り出し

混ぜ合わせ処理

ハッシュ値

(128ビット)

として出力

・・・

❒ハッシュ(hash)関数:任意の長さのメッセージを短い固定長のハッシュ値

に圧縮・変換し、

メッセージダイジェスト

を作成

MD5

のアルゴリズム(RFC1321)

(6)

4.認証局(CA)の必要性

Certificate Authority

❒Aさんの公開鍵と思って入手したものが

実は偽物

(X の公開鍵)

だったら?==> Bさんは誤って認証してしまう!

「本当にAさんの

公開鍵

であること」を

第三者

に証明してもらう必要あり

As(実はXs)

Ap(実はXp)

文書

文面はAさん

記載の内容

正常に解読できたので

Aさんからの文書と

誤認!

Aさん(実はX

Bさん

文書

文面はAさん

記載の内容

CA

(7)

5.認証局(CA)の役割

電子証明書

(別名:

ディジタル証明書

、ディジタルID)の発行(下図の②、⑤)

証明書には、

証明書のID

有効期限

公開鍵

CAの署名

などが含まれる。

As

Ap

注文

Aさん

Bさん

CA

④Aさんの電子証明書

発行依頼

②電子証明書

(CA署名付き)

③注文書(Aさん

署名付き)

①Apの登録

⑤Aさんの電子証明書

(CA署名付き)

⑥電子証明書から

Apを取得、復号化

注文

(8)

6.S/MIMEの

暗号メール

署名メール

のイメージ

Secure Multipurpose Internet Mail Extensions

http://www.ipa.go.jp/security/pki/072.html

暗号通信

(9)
(10)

参考 署名付メール、暗号メールの受信例

暗号化メールの受信

署名付メールの受信

(リボンのマーク)

(11)

7.SSLによる暗号通信

公開鍵Kp(サーバ)、 秘密鍵Ks(サーバ) を管理

Webクライアント

Webサーバ

認証局

(CA)

①SSL要求

ポート番号443

②サーバの電子証明書

(CA署名付き)

C A

⑤Kc生成用元データ

クレジットカード情報

公開鍵 Kp(サーバ)、 など C A

サーバの電子証明書

発行

公開鍵Kp(CA)、 秘密鍵Ks(CA) を管理 共通鍵Kc 生成用 元データ ③Kp(CA)で 復号化 クレジットカード 番号、期限 公開鍵 Kp(サーバ) ④Kp(サーバ) で暗号化 ⑥Ks(サーバ) で復号化 共通鍵Kc 生成用 元データ 共通鍵Kc ⑦共通鍵Kc で暗号化 共通鍵Kc ⑨共通鍵Kc で復号化 クレジットカード 番号、期限

暗号通信

Kp(CA)入手

CA:Certification Authority SSL:Secure Sockets Layer

電子署名

公開鍵暗号

(12)
(13)

8.ユーザID+パスワード方式

(1)

パソコンやサーバへのログイン時、

正当な利用者であること

の確認に利用

(2)他人に利用されないための対策

ワンタイム・パスワード

(使い捨てパスワード)

・時刻などに基づき毎回異なるパスワードを生成

例.SecureIDカード(米RSA社)(→次頁スライド)

パスワード自身はNW上に送信しない

・盗まれても安全な計算値に変えて送信

例.CHAP(Challenge Handshake Authentication P.)

ユーザID チャレンジ (乱数) レスポンス (演算結果) 乱数,パスワードな どを用いた演算 認証処理

クライアント

サーバ

(14)

□他人に推測されず・自分で

覚えやすいもの

□意味の通らない、大文字・

小文字・数字・記号を織り混

ぜた文字列

□許された範囲で長くした文字

(a)安全なパスワード

パソコン

PSKN-→PsKn-→<Ps$Kn>

8so5n-→8So5N-→8S¥o¥5N

①子音を 抽出 ②大文字と 小文字を併用 ③記号で分割・ 両端を囲む ①語呂合わ せで変換 ②子音を 大文字に ③記号を挿入

(b)解読されにくいパスワードの構成例

(覚えやすい 言葉など)

※安全なパスワードの構成法

(15)

読売20080808

(16)

10.チャレンジ・レスポンス方式の概要

クライアント

認証サーバ

①チャンレンジC(乱数)

②レスポンス:チャレンジとパスワード

のハッシュ値 R=f(C、S)

③許可または拒否

登録済みのパスワードSと

以前送信した

チャレンジCのハッシュ値を

計算し、受信したハッシュ

値Rと比較

ハッシュ関数

f(C、S)

結果

パスワードS

パスワードS

❒チャレンジCが毎回異なる→レスポンスRも毎回変わる。

❒パスワードSはクライアント、サーバのそれぞれに秘密裏に保持

❒fは一方向ハッシュ関数→C,Rが盗まれても、Sは求まらない。

(17)

11.バイオメトリクス認証の主な方式

http://jp.fujitsu.com/group/labs/techinfo/techguide/list/biometrics.html(2006.12.3)

(18)

(日経産業2006.10.27)

・日本発の技術

・小型化、低価格化が進んでいる。

例.3.9cm×3.4cm×1.5cm。

3~4万円。

・富士通製→三菱東京UFJ銀行

・日立製→三井住友銀行

参考 静脈認証技術

(19)

出典:YouTube

(20)

12.ファイアウォールの構成例

ルータ

ファイア

ウォール

DNS

サーバ

メール

サーバ

Web

サーバ

インターネット

社内ネットワーク(企業内LAN)

バリア

セグメント

DMZ(非武装セグメント)

バリアセグメント:ファイアウォールよりインターネット側の公開セグメント

DNS:Domain Name System

DMZ(DeMilitarized Zone):インターネットと内部LANとの境界部分に設けられるセグメント

プロキシ

サーバ

PC

PC

PC

PC

ファイアウォール ファイアウォール

(21)

13.ファイアウォール機能:

パケットフィルタリング

インターネット

パケット

フィルタリング

クライアント

IPアドレス:192.169.0.1

IPアドレス:その他

サーバ

IPアドレス:128.0.0.1

ポート:21

禁止

許可

ルール

方向 送信元IPアドレ

宛先IPアドレス

プロトコ

動作

All

128.0.0.1

ポート21

TCP

禁止

192.169.0.1

128.0.0.1

ポート21

TCP

許可

フィルタの例

ファイアウォール

(22)

14.ファイアウォール機能:プロキシ(proxy)

インターネット

クライアント

サーバ

TELNETプロキシ

SMTPプロキシ

HTTPプロキシ

FTPプロキシ

内部接続

アプリケーションレベル

ゲートウェイ

❒内部ネットワークとインターネットとの接続の際、セキュリティ確保と高速アクセスを

実現するために設置されるサーバ。

❒ネットワークに出入りするアクセスを一元管理し、内部から特定の種類の接続のみ

を許可したり、外部からの不正 なアクセスを遮断するために利用される。

❒プロキシとは「代理」の意味で、ユーザーに代わって業務を代行するサーバのこと。

Updating...

関連した話題 :