PowerPoint プレゼンテーション - PDF 無料ダウンロード

1. 認証 (authentication) とは (1) 本物本人であることを確認すること送られた注文書は本物かパソコンやサーバへログインしたのは本人かメールを送信したのは本人かなど (2) 認証の方法 1 本物認証 : 電子署名 ( ディジタル署名 ) 2ユーザ認証 : ユーザID+パスワードバイオメトリクス ( 生体 ) 認証 1 1

2. 電子署名 ( ディジタル署名 ) (1) 本人作成の文書であることを受信者が確認できる仕組み手書きの署名や押印に相当 (2) 公開鍵暗号方式を利用送信者は自分の秘密鍵 As で暗号化受信者は As とペアで管理されている公開鍵 Ap で復号化 ( 解読 ) 解読できたら送信者本人が作成の文書と確認注文書メールなど文書文書 Ap で解読できたら A さん作成の文書と認証 A さん B さん 2 2

公開鍵方式による暗号通信 ( 復習 ) A さん B さん平文暗号化暗号化されたメール復号化平文どの鍵を使う? どの鍵を使う? (Ks(A) Kp(A)) (Ks(B) Kp(B)) 秘密鍵公開鍵秘密鍵公開鍵 A さんがヘアで管理している B さんがヘアで管理している 3 3

3. 電子署名の実際注文書の暗号処理に時間がかかるためそのハッシュ値を求めそれに署名注文者 (A 氏 ) 業者など注文書など注文書など例.MD5 例.MD5 ハッシュ値ハッシュ関数鍵 (Ks Kp) を管理暗号化手順 + 秘密鍵 Ks(A) (A 氏 ) 署名付ハッシュ値復号化手順 + 公開鍵 Kp(A) ハッシュ関数ハッシュ値ハッシュ値 A 氏から入手署名検証 ( ハッシュ値比較 ) 4 4

参考ハッシュ関数の例ハッシュ (hash) 関数 : 任意の長さのメッセージを短い固定長のハッシュ値に圧縮変換しメッセージダイジェストを作成 MD5 のアルゴリズム (RFC1321) 入力バイト列 64B 64B 64B 1 ハティンク処理 64B 64B 64B 56B 2 入力ハイト列の長さ情報付加 64B 64B 64B 64B 8B 3MD ハッファ (32 ヒット 4 個 ) の初期化 464B フロックずつ逐次取り出し混ぜ合わせ処理 5 ハッシュ値 (128 ヒット ) として出力 5 5

4. 認証局 (CA) の必要性 Certificate Authority A さんの公開鍵と思って入手したものが実は偽物 (X の公開鍵 ) だったら?==> B さんは誤って認証してしまう! 本当に A さんの公開鍵であることを第三者に証明してもらう必要あり文面は A さん記載の内容 As( 実は Xs) 文書 CA Ap( 実は Xp) 文書正常に解読できたので A さんからの文書と誤認! A さん ( 実は X ) B さん文面は A さん記載の内容 6 6

5. 認証局 (CA) の役割電子証明書 ( 別名 : ディジタル証明書ディジタル ID) の発行 ( 下図の 2 5) 証明書には証明書の ID 有効期限公開鍵 CA の署名などが含まれる 1Ap の登録 A さん CA 5Aさんの電子証明書 (CA 署名付き ) 2 電子証明書 (CA 署名付き ) 4A さんの電子証明書発行依頼 B さん注文書 As 3 注文書 (A さん署名付き ) Ap 注文書 6 電子証明書から Ap を取得復号化 7 7

6.S/MIME の暗号メール署名メールのイメーシ Secure Multipurpose Internet Mail Extensions 暗号通信電子署名 http://www.ipa.go.jp/security/pki/072.html 8 8

参考署名付メール暗号メールの送信例 9 9

参考署名付メール暗号メールの受信例署名付メールの受信 ( リボンのマーク ) 暗号化メールの受信 10 10

7.SSL による暗号通信 Web クライアント公開鍵 Kp( サーハ ) 公開鍵 Kp(CA) 秘密鍵 Ks(CA) を管理 3Kp(CA) で復号化 Kp(CA) 入手認証局 (CA) 1SSL 要求ホート番号 443 2 サーハの電子証明書 (CA 署名付き ) サーハの電子証明書発行 Web サーバ CA 公開鍵 Kp( サーハ ) など CA 公開鍵 Kp( サーハ ) 秘密鍵 Ks( サーハ ) を管理電子署名共通鍵 Kc 生成用元テータ 4Kp( サーハ ) で暗号化 5Kc 生成用元テータ 6Ks( サーハ ) で復号化共通鍵 Kc 生成用元テータ公開鍵暗号クレシットカート番号期限共通鍵 Kc 7 共通鍵 Kc で暗号化 8 クレシットカート情報共通鍵 Kc 9 共通鍵 Kc で復号化クレシットカート番号期限共通鍵暗号 CA:Certification Authority 暗号通信 SSL:Secure Sockets Layer 11 11

参考電子証明書の例 :Verisign 社 12 12

8. ユーザ ID+ パスワード方式 (1) パソコンやサーバへのログイン時正当な利用者であることの確認に利用 (2) 他人に利用されないための対策 1 ワンタイムパスワード ( 使い捨てハスワート ) 時刻などに基づき毎回異なるハスワートを生成例.SecureID カート ( 米 RSA 社 )( 次頁スライド ) 2 パスワード自身は NW 上に送信しない盗まれても安全な計算値に変えて送信例.CHAP(Challenge Handshake Authentication P.) 乱数, ハスワートなどを用いた演算クライアントユーザ ID チャレンシ ( 乱数 ) レスホンス ( 演算結果 ) サーハ認証処理 13 13

安全なパスワードの構成法 1 子音を抽出 2 大文字と小文字を併用 3 記号で分割両端を囲む他人に推測されず自分で覚えやすいもの意味の通らない大文字小文字数字記号を織り混ぜた文字列許された範囲で長くした文字列パソコン ( 覚えやすい言葉など ) 1 語呂合わせで変換 PSKN- PsKn- <Ps$Kn> 8so5n- 8So5N- 8S o 5N 2 子音を大文字に 3 記号を挿入 (a) 安全なパスワード (b) 解読されにくいパスワードの構成例 14 14

9. ワンタイムパスワードの例読売 20080808 15 15

10. チャレンジレスポンス方式の概要チャレンジ C が毎回異なるレスポンス R も毎回変わるパスワード S はクライアントサーバのそれぞれに秘密裏に保持 f は一方向ハッシュ関数 C,R が盗まれても S は求まらないクライアントハスワート S 1 チャンレンシ C( 乱数 ) 認証サーバハスワート S ハッシュ関数 f(c S) 2 レスホンス : チャレンシとハスワートのハッシュ値 R=f(C S) 3 許可または拒否登録済みのハスワート S と以前送信したチャレンシ C のハッシュ値を計算し受信したハッシュ値 R と比較結果 16 16

11. バイオメトリクス認証の主な方式ユーサ自身の生体的な特徴を利用忘れる心配がない http://jp.fujitsu.com/group/labs/techinfo/techguide/list/biometrics.html(2006.12.3) 17 17

参考静脈認証技術日本発の技術小型化低価格化が進んでいる例.3.9cm 3.4cm 1.5cm 3~4 万円富士通製三菱東京 UFJ 銀行日立製三井住友銀行 ( 日経産業 2006.10.27) 18 18

顔認証機能を採用した iphonex 出典 :YouTube 19 19

12. ファイアウォールの構成例インターネットルータファイアウォールバリアセグメントプロキシサーバ Web サーバ DNS サーバメールサーバファイアウォールファイアウォール DMZ( 非武装セグメント ) 社内ネットワーク ( 企業内 LAN) PC PC PC PC バリアセグメント : ファイアウォールよりインターネット側の公開セグメント DNS:Domain Name System DMZ(DeMilitarized Zone): インターネットと内部 LAN との境界部分に設けられるセグメント 20 20

13. ファイアウォール機能 : ハケットフィルタリンククライアント IP アトレス :192.169.0.1 ファイアウォールサーバ IPアトレス :128.0.0.1 ホート :21 IP アトレス : その他インターネットパケットフィルタリング許可禁止フィルタの例ルール方向送信元 IP アトレス宛先 IP アトレスプロトコル動作 A 内 All 128.0.0.1 ホート 21 TCP 禁止 B 内 192.169.0.1 128.0.0.1 ホート 21 TCP 許可 21 21

14. ファイアウォール機能 : フロキシ (proxy) 内部ネットワークとインターネットとの接続の際セキュリティ確保と高速アクセスを実現するために設置されるサーバネットワークに出入りするアクセスを一元管理し内部から特定の種類の接続のみを許可したり外部からの不正なアクセスを遮断するために利用されるプロキシとは代理の意味でユーザーに代わって業務を代行するサーバのことクライアント内部接続アプリケーションレベルゲートウェイ TELNET フロキシ FTP フロキシ HTTP フロキシ SMTP フロキシインターネットサーバ 22 22