その情報って本物? あるいは、なぜ未だにこうなのか

Slides:



Advertisements
Similar presentations
著作物の利用と使用 開 始開 始 再生時間:3分50秒. 著 作 権 法著 作 権 法著 作 権 法著 作 権 法 利用するには 皆さん、著作物の利用 と使用には区別がある ことを知っています か? 使用するには 作った人の許諾が必要 『著作物の利用と使用』 使うときのルールを 守る必要がある.
Advertisements

位置情報と私 木村岳文 / 位置情報と私 / はじめに GPS 付き携帯、ハンディ GPS などを使っ て、お手軽に自分が地球上のどこにいる かを調べられるようになってきました。 このデータをつかって何かおもしろいこ とができそうな予感。 具体的にどうしたらおもしろいかはよく.
ORCAとUbuntuオンライン 2008/11/26 By河合正巳.
インターネットの 仕組みとセキュリティ 高校 1 年「社会と情報」 ⑭. 1.インターネットの仕組み.
Memo ML の生成 小島肇 おはなしのながれ memo ML の生成 今後のこと.
電子社会設計論 第12回 Electronic social design theory 中 貴俊.
IBMユーザ研究会九州研T3 5章 Webの発展可能性. WWWの発展が企業に与えるもの 顧客・ユーザのリテラシー向上 顧客・ユーザの操作的な ” 常識 ” の変化 システム開発プロジェクトでの応用 ウェブの発展を、企業はどう捉えて、 自らをどう変えていく必要があるか? 新しいプラットフォームをより深く理解することで、
Rubyでニコニコをごにょごにょ MH35.
コンピュータウィルス.
メール暗号化:秘密鍵・公開鍵の作成  作業手順 Windows メール(Vista).
佐藤周行(情報基盤センター/ 基盤情報学専攻) 日本ベリサイン・コンサルティング部
情報基礎A 情報科学研究科 徳山 豪.
T2V技術 Web製作ラボ 4/25, 2011 hayashiLabo 9.
L3會話改編 柯雅閔 吳一依.
技術トピックス 2014/10.
Internet Navigware オフライン版 ご紹介 ~ Internet Navigware Personal V7.0 ~
小学校3年 指導資料例データ.
UNIX Life KMSF M2 saburo.
Lync 会議 Lync 会議に参加する Lync 2013 クイック リファレンス Lync 会議のスケジュール
みられてますよ。 電子情報工学専攻 1年 杉邑 洋樹.
安全・安心なネット生活を送るためのネットワークセキュリティ
仕事を楽しむ?? そもそもムリじゃない! 00.
情報科学 竹内光悦.
Digital Network And Communication
情報モラル指導スライド(中学校) No,6 安全に使うために 平成22年3月 福島県教育センター.
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
CGI Programming and Web Security
クイズ 「インターネットを使う前に」 ネチケット(情報モラル)について学ぼう.
第5章 情報セキュリティ(後半) [近代科学社刊]
第1章 情報を理解しよう 第3節 情報伝達の工夫 1.情報の伝達とは 2.プレゼンテーションとは 3.ネットワークを使った情報伝達
コンピュータと情報 第3回 補遺 ファイルとフォルダ.
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
Vulnerability of Cross-Site Scripting
インターネット社会を生きるための 情報倫理
オペレーティングシステムⅡ 第1回 講師 松本 章代 VirtuaWin・・・仮想デスクトップソフト 2009/10/02.
“所有”から“利用”へ 情報社会とコンピュータ 第12回.
インターネット活用法 ~ブラウザ編~ 09016 上野喬.
数 学 の か た ち 第3講 暗号を作ろう 早苗 雅史 数学とソフトウエア
HTTPプロトコルとJSP (1) データベース論 第3回.
Microsoft Office 2010 クイックガイド ~応用編~
ユビキタス社会における 学校と携帯電話の関係をさぐる
ケータイの使い道に関心を 子どもがケータイをどのように使っているかご存知ですか?
Microsoft Office 2010 クイックガイド ~応用編~
ジョブスケジューラで運用効率化? mihochannel.
ジョブスケジューラで運用効率化? mihochannel.
2004年度 サマースクール in 稚内 JavaによるWebアプリケーション入門
2003年度 データベース論 安藤 友晴.
数学のかたち 暗号を作ろう Masashi Sanae.
第二章 インターネットで やり取りする情報を守る
Japan Eucalyptus Users Group 2009年2月27日(土)
Cisco Umbrella のご紹介 2018 年 1 月.
Webサイト制作 第1回 動的なページ.
投稿: 投稿前に考えよう レッスン#2:投稿 - 投稿する前に考えよう!
長崎大学工学部 情報システム工学科 「パターン認識」って・・・ 何? 宮原・喜安研究室.
第6回 個人の動画配信補足のためのWeb構築
社会と情報 情報社会の課題と情報モラル 情報化が社会に及ぼす影響と課題
コミュニケーションと ネットワークを探索する
Q q 情報セキュリティ 第9回:2006年6月16日(金) q q.
第1章 いよいよプログラミング!! ~文章の表示 printf~
筑波大学附属視覚特別支援学校 情報活用 村山 慎二郎
6 インターネット(2) 6.1 インターネットへの接続 ネットワークにつなげば  →ブラウザや電子メールなどのアプリ   ケーション使用可.
携帯を利用した 詐欺の実例 ・中学生が遭遇した  詐欺の実例.
隔週、楽しみにアクセスさせていただいております。
Microsoft Office 2010 クイックガイド ~応用編~
情報技術演習Ⅰ 人文学研究のための情報技術入門 2017/04/13
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
情報ネットワークと コミュニケーション 数学領域3回 山本・野地.
中等情報科教育Ⅱ 情報セキュリティの確保.
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
電子署名(PGP) 森田 亙昭 牧之内研究室「インターネット実習」Webページ
Presentation transcript:

その情報って本物? あるいは、なぜ未だにこうなのか 小島 肇 kjm@rins.ryukoku.ac.jp

たとえばベンダーのセキュリティ情報 これって改ざんされてたりするんじゃないだろうか? これって偽サイトだったりするんじゃないんだろうか? 例: http://www.microsoft.com/japan/technet/security/ これって改ざんされてたりするんじゃないだろうか? これって偽サイトだったりするんじゃないんだろうか?

たとえば FreeBSD をインストール ところでその .iso、ほんものですか? ftp://ftp.jp.freebsd.org/pub/FreeBSD/ から .iso を get CD-R に焼き焼き そいつで boot インストール ところでその .iso、ほんものですか?

確認方法 偽サイトかどうか – SSL 改ざんされていないかどうか – 電子署名 SSL は必要? センシティブ情報(パスワード等)のやりとりなどがある場合

ダメな例 MD5 digital signature 置きました その MD5 値が改ざんされていないという保証はどこにもない。 SSL つけました 本物サイトである、ことしか保証しない。 そのサイトに格納された文書が改ざんされていないことを保証しているわけではない。 CSS 穴があった日には(後略)

ダメな例(つづき) PGP/GPG で署名しました PGP/GPG 鍵の保証をどうするか、がやっかい。 PKI だって「ほんとにちゃんとやってんのか XXXXXXXX !」とかいう話があるけど… インターネットは使ってません 利用している別のネットワーク上(例: 郵便)で改ざんされていないという保証はない。特に、国家権力がらみの場合は…

事例 - Microsoft web page SSL – good 電子署名 – no good web ドキュメントには署名なし 昔、U.S. のメール版セキュリティ情報は PGP 署名してあったりしましたが、… 署名が壊れてたりもした (^^;;) Patch やプログラムファイルについては署名がある

事例 – Red Hat web page SSL – good 電子署名 – no good web ドキュメントには署名なし rpm については GPG 署名がある gpg –import /usr/share/rhn/RHNS-CA-CERT rpm –checksig package.rpm この GPG 署名の正しさはどうやって確認する?

事例 – JPCERT/CC 電子署名 – (half?) good 注意喚起、JPCERT/CC レポート等、主要なものには PGP 署名あり。全てではない。 署名の確認方法: JPCERT/CC 関係者から名刺をかっぱらい、名刺に刷られた Fingerprint を見る web page SSL – no good 設置予定なし (T_T)。センシティブ情報のやりとりは、今のところはないようだが…

事例 - FreeBSD web page SSL – no good 電子署名 – no good 似たような感じのところは多い… *BSD, Vine, Turbo, … 事例: トロイの木馬版 OpenSSH 配布事件 http://www.openssh.com/txt/trojan.adv そこらじゅうに存在するブツを集めまくった上で比較し、「どうやら本物っぽい」と言うことはできるかも

問題点いろいろ SSL を入れていないところは多い なぜ普及しない? 重い 高い ウザい 個人じゃ取れない

個人向けの証明書サービスを! 個人で(いくつも)ドメインを持つ時代にサービス内容が適合していない 「そのサイトが確かにそのドメインのものである」ことを保証してくれれば、多くの人にとってはそれでいいのでは? 住所だの何だのがどうだというのか あまりにも EC 方面に向きすぎ ドメイン屋さんがやってくれないかなあ…

問題点いろいろ(つづき) Akamai などを使ってると、「セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません」と言われる 例: HP, Symantec, NAI, 読売 SSL を入れていても、ブラウザで鍵アイコンが出ないところが結構ある 例: IBM, Sony, Oracle, ISSKK

問題点いろいろ(つづき) 電子署名されたコンテンツはほとんどない 普及してない? いや、俺も署名してないが(^^;) しょせん 2 次情報サイトだし… 動的な web page はどうするのがいいんだろう web サービスの時代(XML 署名)を待つ? それまでは、サイトをまるごと信用する・しないしかない?

個人的 to do SSL 導入 手続きはやっぱりウザそう… 署名方面 ちょっと考え中… PKI 大規模導入、なんてのは絶対ムリ

Appendix SSL なページがあるかどうか、ちょっと調べてみた結果を http://www.st.ryukoku.ac.jp/~kjm/security/memo/ ssl-enable-sites.txt に置いておきます。 署名してません(^^;)