PKI (Public Key Infrastructure) とクラウド

Slides:



Advertisements
Similar presentations
電子政府・電子行政 ~セキュリティ向上を目指して~ 知的システムデザイン研究 室 発表者 ○ 藤田 佳久 指導院生 荒久 田 博士 66th Monthly Meeting.
Advertisements

情報セキュリティ 第12回 公開鍵暗号基盤. 脅威と暗号技術 セキュリティに対する脅威 脅かされる特性 暗号技術 機密性 正真性 認証 否認不可能性 盗聴 (秘密が漏れる) 改竄 (情報が書き換えられる) なりすまし (正しい送信者のふりをす る) 否認 (後から私じゃないと言 う) 共通鍵暗号 公開鍵暗号.
PKI (Public Key Infrastructure) とクラウド 2011 年 11 月 29 日 ( 火 ) 1.
電子社会設計論 第12回 Electronic social design theory 中 貴俊.
メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).
情報基礎A 情報科学研究科 徳山 豪.
PKI (Public Key Infrastructure) とクラウド
駒澤大学 経営学部 情報セキュリティ B 公開鍵暗号による 認証つきの秘匿通信 ―― 鍵に注目して ――
SSHのセキュリティ技術 SSH2 IPSec PKI TLS/ SSL
(株)アライブネット RS事業部 企画開発G 小田 誠
実習用サーバの利用開始手順 (Windowsの場合) TeraTerm Proをインストール 公開鍵をメールで送付
情報工学科 06A2055 平塚 翔太 Hiratsuka Shota
認証実用化実験協議会 平成10年度第1回定例研究会 ICAT 認証実用化実験協議会(ICAT) の広域認証実験
Ibaraki Univ. Dept of Electrical & Electronic Eng.
UNIX Life KMSF M2 saburo.
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
第5章 情報セキュリティ(後半) [近代科学社刊]
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
メールの利用 計算機実習室でThunderbird.
「まめだくん Ver.1.0」 特徴と利用方法.
Netscape Communicator Eudora Microsoft Word
第2章 第1節 情報通信の仕組み 4 暗号技術と情報の保護 5 コンピュータとネットワークの管理
情報化が社会に及ぼす影響 情報セキュリティの確保
第5章 情報セキュリティ(前半) [近代科学社刊]
富士通 SS研究会 2000/11/15 KEK 高エネルギー加速器研究機構 計算科学センター 八代茂夫
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
数 学 の か た ち 第3講 暗号を作ろう 早苗 雅史 数学とソフトウエア
情報セキュリティ読本 - IT時代の危機管理入門 -
クラウド、公開鍵暗号方式 情報ネットワーク特論 南里 豪志.
第2章 第1節 情報通信の仕組み 1 ネットワークの仕組み 2 通信プロトコル 3 認証と情報の保護
公開鍵認証方式の実習 TeraTermの場合
メールの利用1 Webメールの利用方法.
管理画面操作マニュアル <サイト管理(1)> 基本設定 第9版 改訂 株式会社アクア 1.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
第10回 情報セキュリティ 伊藤 高廣 計算機リテラシーM 第10回 情報セキュリティ 伊藤 高廣
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
数学のかたち 暗号を作ろう Masashi Sanae.
PKI (Public Key Infrastructure) とクラウド
共通暗号方式 共通のキーで暗号化/復号化する方法 例) パスワードつきのZIPを送信して、後からパスワードを送る方法 A さん B さん
第二章 インターネットで やり取りする情報を守る
PGP インターネットで 広く使われている暗号技術
情報セキュリティ  第11回 デジタル署名.
インターネットにおける真に プライベートなネットワークの構築
キャンパスクラウドによる 実験環境の構築 情報ネットワーク特論 講義資料.
Linux リテラシ 2006 第5回 SSH と SCP CIS RAT.
gate-toroku-system のしくみ
2章 暗号技術 FM15002 友池 絲子.
PKI 情報工学専攻 1年 赤木里騎 P91~102.
公開鍵認証方式の実習 MacOS Xの場合.
ネットワークプログラミング (3回目) 05A1302 円田 優輝.
Netscape Communicator Eudora Microsoft Word
暗号技術 ~暗号技術の基本原理~ (1週目) 情報工学科  04A1004 石川 真悟.
#11 Security, 暗号、認証局 Yutaka Yasuda.
Intel SGXを用いた仮想マシンの 安全な監視機構
最低限インターネット ネットワークにつなぎましょ!
コミュニケーションと ネットワークを探索する
Q q 情報セキュリティ 第9回:2006年6月16日(金) q q.
gate登録システム: 設計ポリシーから使い方まで
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
Q q 情報セキュリティ 第12回:2004年6月25日(金) の補足 q q.
情報社会の安全と情報技術.
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
特定ユーザーのみが利用可能な仮想プライベート・ネットワーク
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
gate-toroku-system のしくみ
電子署名(PGP) 森田 亙昭 牧之内研究室「インターネット実習」Webページ
管理VMへの キーボード入力情報漏洩の防止
ユーザ認証の盗聴 2002/9/10 峯 肇史 牧之内研究室「インターネット実習」Webページ
Presentation transcript:

PKI (Public Key Infrastructure) とクラウド 情報ネットワーク特論 講義資料

インターネット上の認証 各種 Webサービス 計算機利用サービス 求められるセキュリティの要件 買い物、銀行口座、 ホテル予約、講義登録、etc. 計算機利用サービス 計算機センター、クラウド、グリッド、etc. 求められるセキュリティの要件 本人であること 内容が不正に書き換えられていないこと 内容が他人に盗み見られないこと

例) クラウド インターネット上のサービスを、 今すぐ、 必要な量だけ、 利用するための環境を提供する 例) クラウド インターネット上のサービスを、   今すぐ、   必要な量だけ、 利用するための環境を提供する PaaS (Platform as a Service) プラットフォーム(計算機そのもの)として提供 SaaS (Software as a Service) ソフトウェアとして提供 クラウドの実用事例:   「エコポイント申請窓口サイトを1カ月で構築」 http://www.publickey1.jp/blog/09/1.html

Amazon EC2 PaaSの代表的なサービスのひとつ http://aws.amazon.com/jp/ec2/ 計算機、ハードディスク装置、 ネットワーク回線について、 必要な利用量と利用期間を指定して利用 提供された計算機の管理者として利用可能:  ソフトウェアのインストール、ユーザ登録、 等 利用した資源の量に応じた料金

Amazon EC2のアカウント申請 メールアドレス、 パスワードの登録 住所等の 個人情報入力 本人確認

本人確認 電話番号を入力 電話がかかってくるので、 画面に表示される数字を入力

Amazon EC2の計算機利用 Webサイトにログイン 使う計算機の種類、量を指定 "Key Pair" の作成 Key Pair?

PKI (Public Key Infrastructure) Key Pair (鍵の対) による暗号化技術 「公開鍵暗号方式(Public Key Cryptosystem)」 を用いたセキュリティ基盤技術 Key Pair: 公開鍵 + 秘密鍵 PKI の目的: 通信内容の暗号化 = のぞき見への対策 通信内容の保証 = 改ざんへの対策

従来の暗号化技術:共通鍵暗号 (Symmetric Key Cryptosystem) 暗号化 (encrypt) と復号 (decrypt) に 同じ鍵を利用 例) シーザー暗号 (Caesar cipher) 実際は、もっと複雑で実用的なものを利用  DES, AES 安全に鍵の情報を教える手段が必要 My name is James Bond. encrypt decrypt Oa pcog ku Lcogu Dqpf.

公開鍵暗号方式の概要 2個の鍵 (key1, key2) の片方を使って暗号化、 もう片方を使って復号 POINT: 暗号化に使った鍵では復号できない confidential confidential .......... ........... ... . ... .. ...... ... ....... .. . . .... ........ ... .......... ........... ... . ... .. ...... ... ....... .. . . .... ........ ... encrypt (key1) decrypt (key2) confidential confidential .......... ........... ... . ... .. ...... ... ....... .. . . .... ........ ... .......... ........... ... . ... .. ...... ... ....... .. . . .... ........ ... encrypt (key2) decrypt (key1)

公開鍵 (Public Key) と 秘密鍵 (Private Key) Key Pair の片方を「公開鍵」として、 送信相手に渡す 公開鍵が盗み見られても問題ない もう片方は「秘密鍵」として、誰にも見せない

例1) 通信内容の暗号化 user A から user Bに送信するメールを暗号化 user B の秘密鍵が無ければ覗き見できない 例1) 通信内容の暗号化 user A から user Bに送信するメールを暗号化 user A: user B の公開鍵を使って暗号化 user B: user B の秘密鍵を使って復号 user B の秘密鍵が無ければ覗き見できない user A user B confidential confidential .......... ........... ... . ... .. ...... ... ....... .. . . .... ........ ... .......... ........... ... . ... .. ...... ... ....... .. . . .... ........ ... encrypt (user B's public key) decrypt (user B's private key) intercept need user B's private key to decrypt

例2) 通信内容の保証 user A の送信した内容が改ざんされていない ことを保証する 秘密鍵で暗号化したものを、本文と一緒に送付 例2) 通信内容の保証 user A の送信した内容が改ざんされていない ことを保証する 秘密鍵で暗号化したものを、本文と一緒に送付 user A user B .......... ........... ... . ... .. ...... ... ....... .. . . .... ........ ... .......... ........... ... . ... .. ...... ... ....... .. . . .... ........ ... compare encrypt (user A's private key) .......... ........... ... . ... .. ...... ... ....... .. . . .... ........ ... decrypt (user A's public key)

両方式の比較 共通鍵暗号方式: 公開鍵暗号方式: 両方式の併用 共通鍵を渡す方法が問題 鍵の暗号化に要する時間が問題  (共通鍵暗号方式の数百倍~数千倍) = 大メッセージの暗号化には不適 両方式の併用 公開鍵暗号方式で、共通鍵を送付 共通鍵暗号方式で、本文を送付

公開鍵暗号方式のもう一つの問題: 本当に本人の公開鍵か? 公開鍵暗号方式のもう一つの問題: 本当に本人の公開鍵か? 他人による「なりすまし」(impersonation)の 防止 公開鍵と本人の関係を保証する仕組みが必要 ⇒ 証明書 (Certificate)

一般的な証明書の例: パスポート 国 (外務省) が本人であることを保証 発行時に、本人であることを十分確認 一般的な証明書の例:  パスポート 国 (外務省) が本人であることを保証 発行時に、本人であることを十分確認 写真付きの証明書(運転免許等) 1点 もしくは、写真の無いもの 2点以上 保険証、印鑑登録等 社員証や学生証は、写真付きでも別途

X.509 証明書 PKI で定められたフォーマットによる証明書 発行機関: CA (Certification Authority) 「秘密鍵の所有者」と 「その秘密鍵に対応する公開鍵」 の関係を保証する。 発行機関: CA (Certification Authority) 本人確認機関: RA(Registration Authority) インターネット上で利用できる電子情報で発行

CA (Certification Authority) 証明書の発行機関 private key の所有者と public key の関係を保証. 電子署名(digital signature) を添付. どの CA を信用するかは、計算機毎に設定可能 certificate server A CA1, CA2 を信用 発行機関: CA1 server B CA2 を信用

RA (Registration Authority) PKIにおいて,本人確認を行う機関. 通常,利用者に近い場所に設置 本人確認の手段: 身分証明書(運転免許,パスポート等) + 対面 遠い場合は電子メール等 確認できたら,発行機関に証明書発行依頼 本人確認は時間がかかるので 大きな組織では発行機関と別に用意 必要に応じて複数  例) 各学部にRAを設置し,大学事務局で認証書発行 小さな組織では発行機関が RA を兼務

X.509 証明書の例 CA 有効期間 public key CAの電子署名 Distinguished Name (識別名) Certificate: Data: Version: 3 (0x2) Serial Number: c1:73:39:44:df Signature Algorithm: sha1WithRSAEncryption Issuer: C=US, O=Amazon.com, OU=AWS, CN=AWS Limited-Assurance CA Validity Not Before: Oct 28 02:14:23 2010 GMT Not After : Oct 28 02:14:23 2011 GMT Subject: C=US, O=Amazon.com, OU=AWS-Developers, CN=1mpq368escdn Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:97:98:59:69:08:56:5c:48:4f:e6:fd:9f:ff:c7: ... 90:f8:78:c9:1e:0b:a7:40:96:54:62:4f:37:b7:2e:7c:fb:2c: CA 有効期間 Distinguished Name (識別名) public key CAの電子署名

識別名 (Distinguished Name) PKI 上で個人(や特定の計算機など)を 識別するための名前 通常, いくつかの情報の組み合わせで構成 country locality organization section common name(固有名詞) E-mail アドレス 一つのCA内で重複しない. 証明書は、この個人と公開鍵の関係を保証する

電子署名 (Digital Signature) 証明書の要約 (digest)をCAの秘密鍵で暗号化した もの 証明書に添付して、証明書の内容を保証 CA user server User's public key + DN ............ ......... ........... ....... certificate certificate digest ......... ...... ............ ......... ........... ....... ............ ......... ........... ....... ............ ......... ........... ....... 秘 秘 秘 compare digest deliver send decrypt encrypt ......... ...... ......... ...... CA's private key CA's public key

要約 (digest) 長いメッセージから固定バイト長(20byte程度)の digest を作成. 悪質な書き換えの防止 公開鍵暗号化の時間を短縮 悪質な書き換えの防止 同じ digest が生成されるようにメッセージを書き換 えることが出来ると電子署名としての信頼性が維持 できない 特殊な関数を利用: MD5, SHA1, etc. digest から元の文への復元は不可能 元の文が 1bit でも違うと digest が大きく変化

証明書発行の流れ user RA CA key pair 作成 証明書発行申請 本人確認 証明書発行依頼 重複確認 電子署名作成 証明書発行 private key public key 証明書発行申請 本人確認 public key OK distinguished name 証明書発行依頼 public key 重複確認 JP, Kyushu Univ., ... Takeshi Nanri distinguished name OK 電子署名作成 証明書発行 CA, validity public key 証明書取得 distinguished name digital signature

サーバーによる利用者の認証 証明書の公開鍵を用いて認証 user server encrypt decrypt random message ......... ...... ......... ...... encrypt user's private key compare decrypt ......... ...... user's public key

利用者によるサーバの認証 サーバの「成りすまし」(impersonation)防止 user server encrypt decrypt random message ......... ...... ......... ...... encrypt server's private key compare decrypt ......... ...... server's public key

秘密鍵の暗号化 PKIでは、秘密鍵が他人に見られないことが重要 秘密鍵を、さらに暗号化可能 パソコンが盗まれる サーバの管理者が悪意で秘密鍵を見る 秘密鍵を、さらに暗号化可能 パスフレーズ(=パスワード)による暗号化 秘密鍵を参照するたびにパスフレーズ入力

SSO(Single Sign-On) 技術 一度の認証で、以降の認証を自動化 秘密鍵のパスフレーズ入力を省略 複数のサーバによるサービスの利用に有効 どうやって?

代理人 (Proxy) による SSO 一時的に利用可能な公開鍵と秘密鍵を持った 代 理人を作成. 一般に短時間(12時間程度)有効. 利用者の電子署名で,代理人であることを保証. 有効時間が比較的短いため, 秘密鍵を暗号化する必要なし. → 認証の度にパスフレーズを入力しなくて良い

Proxyの作成 短期間利用可能な Key Pair を作成. それらを元に証明書を作成. 証明書に自分の秘密鍵で電子署名.  ⇒ 一度だけパスワードの入力が必要. certificate 一時的に作成 名前 発行機関 etc. private key public key public key 電子署名 digest, 利用者の秘密鍵で暗号化

Proxy証明書の例 CA = user validity = 12h proxy's DN temporal public key Certificate: Data: ... Issuer: O=Grid, O=Globus, OU=cc.kyushu-u.ac.jp, CN=Takeshi Nanri Validity Not Before: Dec 1 04:42:12 2002 GMT Not After : Dec 1 16:47:12 2002 GMT Subject: O=Grid, O=Globus, OU=cc.kyushu-u.ac.jp, CN=Takeshi Nanri, CN=proxy Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (512 bit) Modulus (512 bit): 00:ac:f1:8f:81:98:04:ef:da:6a:a1:53:4e:53:ea: 4e:1b:4b:7f:e7 Exponent: 65537 (0x10001) Signature Algorithm: md5WithRSAEncryption 18:7a:a4:9c:7c:50:89:9f:97:e5:55:8b:aa:2a:a2:ae:f7:a3: b4:23 CA = user validity = 12h proxy's DN temporal public key user's digital signature

Proxyによる認証 2つの証明書を利用 proxy が正規の代理人であることを確認 利用者の証明書 proxyの証明書 CA の公開鍵でユーザの証明書の電子署名を確 認 ユーザの証明書に含まれる本人の公開鍵で proxy の証明書の電子署名を確認

まとめ インターネット上の認証技術 公開鍵暗号方式 X.509証明書 電子署名 Proxy

実習: 公開鍵を使ってアカウント作成 実習の流れ 1.公開鍵を友人と交換 2.サーバの用意 3.新規アカウント作成 4.公開鍵登録 5.接続確認

公開鍵の交換 メールを利用して、友人に公開鍵を送付 注意!! 秘密鍵を送らない 友人から公開鍵を受け取り、名前を付けて保 存 メールを利用して、友人に公開鍵を送付  注意!! 秘密鍵を送らない 友人から公開鍵を受け取り、名前を付けて保 存 友人に、希望のアカウント名を聞いておく

サーバの用意 前回の講義資料を参照 開発用クラウドでホストを 1台取得 ホスト名、IPアドレス、パスワードを記録 ログイン

新規アカウント作成 su コマンドで管理者 root になる 新規アカウント作成 記録したパスワードを使用 su 新規アカウント作成    su /usr/sbin/useradd -m 新アカウント名

公開鍵の登録 ファイル転送で、友人の公開鍵をサーバにアッ プロード 公開鍵の内容を登録 管理者では無く自分のホームディレクトリ cd /home/新アカウント名 mkdir .ssh chmod 700 .ssh cp /home/自分のアカウント名/友人の公開鍵ファイル名 .ssh/authorized_keys chmod 600 .ssh/authorized_keys chown -R .ssh

接続確認 友人のサーバの準備が出来たら、 IPアドレスを聞いて、そちらにログインする 友人に教えたアカウント名を使用 公開可能な情報だけを使って、 安全に新しいアカウントを用意できた。