「セキュリティ」の編集履歴(バックアップ)一覧はこちら
「セキュリティ」(2013/04/11 (木) 14:01:41) の最新版変更点
追加された行は緑色になります。
削除された行は赤色になります。
<p><u>・SSH</u><br />
公開鍵と秘密鍵により、認証とデータの暗号化を行う。<br />
①ホストの認証<br />
SSHクライアントが、接続するSSHサーバの公開鍵を受け取り、<br />
クライアントに格納されているSSHサーバの公開鍵と比較し、正当性を確かめる。</p>
<p><u>・チャレンジ&レスポンス認証</u><br />
クライアントから帰ってきたレスポンスと、<br />
サーバで生成したレスポンスが一致すればOK<br />
レスポンスはサーバが生成したランダムな文字列と、クライアントが入力したパスワードから生成される。</p>
<p><u>・一次方向ハッシュ関数<br /></u>代表的なものはMD5、SHA-1、SHA-2など</p>
<p><u>・WPA、WPA2</u><br />
違う点は共通暗号化方式で、WPAはTKIP、WPA2はAESを使っている。<br />
双方とも認証にはEnterpriseモードとPersonal(PSK)モードがある。<br />
Enterpriseモードは専用のサーバ必要<br />
PSKモードは専用のサーバが不要でパスフレーズによる認証を行う。</p>
<p><u>・TKIP<br /></u>wepにおいて暗号化キーが容易に解読されてしまう為の対策として、<br />
自動的に暗号化キーを更新する機能である。<br />
-128bitの巻号鍵をもつ。</p>
<p> <u>・DNS Rebinding</u><br />
DNSの返すIPアドレスを巧妙に変化させることにより、JavaScriptやJavaアプレットなどのsame origin
policyを破り、インターネットからローカルネットワーク(通常外部からはアクセスできない)などに対してアクセスする手法をいう。</p>
<p><u>・フィッシング、ファーミング<br /></u>フィッシングはメールを使って偽サイトへ誘導する攻撃。<br />
ファーミングはDNSを改ざんするなどして偽サイトへ誘導する攻撃。</p>
<p>・PGP<br />
公開鍵暗号化方式を使った暗号化方式。<br />
現在ではメールを暗号化するのに使われる。</p>
<p><u>・S/MIME<br /></u>-電子メールの暗号化と電子署名に関する国際規格。<br />
-メールの盗聴、改ざん、なりすましに対する仕組み。<br />
-①<strong>当事者同士で電子証明書を添付したメールをやり取りする。<br /></strong> ②電子証明書で公開鍵をやり取りし、暗号化を行う。</p>
<p><u>・AES、DES、RSA<br /></u>AES、DESは共通鍵暗号化方式。RSAは公開鍵暗号化方式。</p>
<p><u>・SPI機能(ステートフルインスペクション)※俺的にログベースフィルタリング</u><br />
セッションログを監視し、矛盾のあるセッションを拒否する機能。<br />
LAN側からSYNパケットをWANへ送った場合のみ、WAN側からのSYN+ACKパケットを一時的に許可する。<br />
例:HTMLファイルの要求を出していないのにHTMLファイルが送られてきた場合などは拒否する。</p>
<p>
<u>・ダイナミックパケットフィルタリング※俺的にポートベースフィルタリング</u>LAN側から送信したパケットのポートに従って、返信パケットが使用するポートの開閉を自動で制御する。</p>
<p><u>・公開鍵基盤と電子証明書<br /></u>公開鍵基盤により生成された公開鍵が不正なもので無いか証明する為のもの。CAが作成する。<br />
電子証明書により、デジタル署名が作成される。<br />
現実世界でのたとえとしては、電子署名が判子そのもの、押された印の方がデジタル署名に例えられる。<br />
</p>
<p><u>・電子署名(デジタル署名)</u><br />
正しい送信者であることと、データが改ざんされていない事を証明するもの。<br /><br />
-正しい送信者であることの証明:<br />
暗号秘密鍵と対になる復号公開鍵でしか複合出来ない事を利用する。<br />
送信者が秘密鍵で暗号化したハッシュ値を、受信者が送信者の復号公開鍵で復号出来れば証明となる。<br />
※データそのものの暗号化(受信者の公開鍵で暗号化)とは異なり、<br />
<strong>ハッシュ値の暗号化は送信者の秘密鍵で暗号化する点に注意。</strong><br />
<br />
-改ざんの検知:<br />
送信者から受信したデータからハッシュ値を生成し、送信者から受信したハッシュ値と照合することで証明できる。</p>
<p>↓暗号化とデジタル署名を併用した図 </p>
<p><img alt="" style="width:475px;height:256px;" src="http://www4.atwiki.jp/kubo?cmd=upload&act=open&pageid=24&file=__.jpg" /></p>
<p><u>・デジタル証明書<br /></u>公開鍵暗号化方式において、公開鍵が正当なものかを証明する手段。<br />
サーバの公開鍵と所有者情報等が含まれ、CAのデジタル署名がかけられている。<br />
↓説明動画<br /><a href="http://www.youtube.com/watch?v=2TmM0QKAIOU">http://www.youtube.com/watch?v=2TmM0QKAIOU</a><br /><br />
-ルート証明書<br />
証明書を発行した認証局が正規であるという保証を得るために、用いられるもの。<br />
クライアントにインストールされている。<br />
証明書を発行した認証局を認証している認証局・・・といったように辿っていった頂点にある認証局が自己署名した証明書の事。<br /><br />
</p>
<p><u>・SSH</u><br />
公開鍵と秘密鍵により、認証とデータの暗号化を行う。<br />
①ホストの認証<br />
SSHサーバの正当性をクライアントが確認する手順。<br /><br />
SSHクライアントが、接続するSSHサーバの公開鍵を受け取り、<br />
クライアントに格納されているSSHサーバの公開鍵と比較し、正当性を確かめる。<br /><br />
②ユーザ認証<br />
クライアント側のユーザの正当性を確認する手順。<br />
パスワード認証や公開鍵認証(RSA,DSA)などの方法がある。<br /><br />
□公開鍵を使うユーザ認証<br />
1、クライアントで公開鍵と秘密鍵を生成→公開鍵をサーバに送信。<br />
2、サーバー側でランダムな数値を生成し、クライアントで生成された公開鍵で暗号化し、クライアントに送信。<br />
3、クライアントは公開鍵でランダムな数値を複合化し、サーバーに送信。<br />
4、サーバーは受信したランダムな数値と、サーバー側にあるランダムな数値を比較し→認証<br />
※上記では省いたが、同時にパスフレーズの比較による認証も行っている。</p>
<p><br />
□公開鍵の方式<br />
バージョン1:RSA<br />
バージョン2:RSA、DSA</p>
<p><u>・チャレンジ&レスポンス認証</u><br />
クライアントから帰ってきたレスポンスと、<br />
サーバで生成したレスポンスが一致すればOK<br />
レスポンスはサーバが生成したランダムな文字列と、クライアントが入力したパスワードから生成される。</p>
<p><u>・一次方向ハッシュ関数<br /></u>代表的なものはMD5、SHA-1、SHA-2など</p>
<p><u>・WPA、WPA2</u><br />
違う点は共通暗号化方式で、WPAはTKIP、WPA2はAESを使っている。<br />
双方とも認証にはEnterpriseモードとPersonal(PSK)モードがある。<br />
Enterpriseモードは専用のサーバ必要<br />
PSKモードは専用のサーバが不要でパスフレーズによる認証を行う。</p>
<p><u>・TKIP<br /></u>wepにおいて暗号化キーが容易に解読されてしまう為の対策として、<br />
自動的に暗号化キーを更新する機能である。<br />
-128bitの巻号鍵をもつ。</p>
<p> <u>・DNS Rebinding</u><br />
DNSの返すIPアドレスを巧妙に変化させることにより、JavaScriptやJavaアプレットなどのsame origin
policyを破り、インターネットからローカルネットワーク(通常外部からはアクセスできない)などに対してアクセスする手法をいう。</p>
<p><u>・フィッシング、ファーミング<br /></u>フィッシングはメールを使って偽サイトへ誘導する攻撃。<br />
ファーミングはDNSを改ざんするなどして偽サイトへ誘導する攻撃。</p>
<p>・PGP<br />
公開鍵暗号化方式を使った暗号化方式。<br />
現在ではメールを暗号化するのに使われる。</p>
<p><u>・S/MIME<br /></u>-電子メールの暗号化と電子署名に関する国際規格。<br />
-メールの盗聴、改ざん、なりすましに対する仕組み。<br />
-①<strong>当事者同士で電子証明書を添付したメールをやり取りする。<br /></strong> ②電子証明書で公開鍵をやり取りし、暗号化を行う。</p>
<p><u>・AES、DES、RSA<br /></u>AES、DESは共通鍵暗号化方式。RSAは公開鍵暗号化方式。</p>
<p><u>・SPI機能(ステートフルインスペクション)※俺的にログベースフィルタリング</u><br />
セッションログを監視し、矛盾のあるセッションを拒否する機能。<br />
LAN側からSYNパケットをWANへ送った場合のみ、WAN側からのSYN+ACKパケットを一時的に許可する。<br />
例:HTMLファイルの要求を出していないのにHTMLファイルが送られてきた場合などは拒否する。</p>
<p>
<u>・ダイナミックパケットフィルタリング※俺的にポートベースフィルタリング</u>LAN側から送信したパケットのポートに従って、返信パケットが使用するポートの開閉を自動で制御する。</p>
<p><u>・公開鍵基盤と電子証明書<br /></u>公開鍵基盤により生成された公開鍵が不正なもので無いか証明する為のもの。CAが作成する。<br />
電子証明書により、デジタル署名が作成される。<br />
現実世界でのたとえとしては、電子署名が判子そのもの、押された印の方がデジタル署名に例えられる。<br />
</p>
<p><u>・電子署名(デジタル署名)</u><br />
正しい送信者であることと、データが改ざんされていない事を証明するもの。<br /><br />
-正しい送信者であることの証明:<br />
暗号秘密鍵と対になる復号公開鍵でしか複合出来ない事を利用する。<br />
送信者が秘密鍵で暗号化したハッシュ値を、受信者が送信者の復号公開鍵で復号出来れば証明となる。<br />
※データそのものの暗号化(受信者の公開鍵で暗号化)とは異なり、<br />
<strong>ハッシュ値の暗号化は送信者の秘密鍵で暗号化する点に注意。</strong><br />
<br />
-改ざんの検知:<br />
送信者から受信したデータからハッシュ値を生成し、送信者から受信したハッシュ値と照合することで証明できる。</p>
<p>↓暗号化とデジタル署名を併用した図 </p>
<p><img alt="" style="width:475px;height:256px;" src="http://www4.atwiki.jp/kubo?cmd=upload&act=open&pageid=24&file=__.jpg" /></p>
<p><u>・デジタル証明書<br /></u>公開鍵暗号化方式において、公開鍵が正当なものかを証明する手段。<br />
サーバの公開鍵と所有者情報等が含まれ、CAのデジタル署名がかけられている。<br />
↓説明動画<br /><a href="http://www.youtube.com/watch?v=2TmM0QKAIOU">http://www.youtube.com/watch?v=2TmM0QKAIOU</a><br /><br />
-ルート証明書<br />
証明書を発行した認証局が正規であるという保証を得るために、用いられるもの。<br />
クライアントにインストールされている。<br />
証明書を発行した認証局を認証している認証局・・・といったように辿っていった頂点にある認証局が自己署名した証明書の事。<br /><br />
</p>