その情報って本物? あるいは、なぜ未だにこうなのか

Slides:

Advertisements

Similar presentations

著作物の利用と使用開始開始再生時間：３分５０秒. 著作権法著作権法著作権法著作権法利用するには皆さん、著作物の利用と使用には区別があることを知っていますか？使用するには作った人の許諾が必要『著作物の利用と使用』使うときのルールを守る必要がある.

Advertisements

位置情報と私木村岳文 / 位置情報と私 / はじめに GPS 付き携帯、ハンディ GPS などを使って、お手軽に自分が地球上のどこにいるかを調べられるようになってきました。このデータをつかって何かおもしろいことができそうな予感。具体的にどうしたらおもしろいかはよく.

ORCAとUbuntuオンライン 2008/11/26 By河合正巳.

インターネットの仕組みとセキュリティ高校 1 年「社会と情報」 ⑭. １．インターネットの仕組み.

Memo ML の生成小島肇おはなしのながれ memo ML の生成今後のこと.

電子社会設計論第１２回 Electronic social design theory 中貴俊.

IBMユーザ研究会九州研T3 5章 Webの発展可能性. WWWの発展が企業に与えるもの顧客・ユーザのリテラシー向上顧客・ユーザの操作的な ” 常識 ” の変化システム開発プロジェクトでの応用ウェブの発展を、企業はどう捉えて、自らをどう変えていく必要があるか？新しいプラットフォームをより深く理解することで、

Rubyでニコニコをごにょごにょ MH35.

コンピュータウィルス.

メール暗号化：秘密鍵・公開鍵の作成　作業手順 Windows メール（Vista）.

佐藤周行（情報基盤センター/ 基盤情報学専攻）日本ベリサイン・コンサルティング部

情報基礎A 情報科学研究科徳山　豪.

T2V技術 Web製作ラボ 4/25, 2011 hayashiLabo 9.

L3會話改編柯雅閔吳一依.

技術トピックス 2014/10.

Internet Navigware オフライン版ご紹介～ Internet Navigware Personal V7.0 ～

小学校３年指導資料例データ.

UNIX Life KMSF M2 saburo.

Lync 会議 Lync 会議に参加する Lync 2013 クイックリファレンス Lync 会議のスケジュール

みられてますよ。電子情報工学専攻　1年杉邑　洋樹.

安全・安心なネット生活を送るためのネットワークセキュリティ

仕事を楽しむ？？そもそもムリじゃない！ 00.

情報科学竹内光悦.

Digital Network And Communication

情報モラル指導スライド（中学校）Ｎｏ，６安全に使うために平成２２年３月福島県教育センター.

ネット時代のセキュリティ２（脅威の例）２ＳＫ　情報機器工学.

CGI Programming and Web Security

クイズ　「インターネットを使う前に」ネチケット(情報モラル)について学ぼう.

第５章情報セキュリティ（後半）［近代科学社刊］

第１章情報を理解しよう第３節情報伝達の工夫１．情報の伝達とは２．プレゼンテーションとは３．ネットワークを使った情報伝達

コンピュータと情報第３回補遺ファイルとフォルダ.

Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.

Vulnerability of Cross-Site Scripting

インターネット社会を生きるための情報倫理

オペレーティングシステムⅡ 第１回講師　松本章代 VirtuaWin・・・仮想デスクトップソフト 2009/10/02.

“所有”から“利用”へ情報社会とコンピュータ第１２回.

インターネット活用法～ブラウザ編～ 09016　上野喬.

数学のかたち第３講暗号を作ろう早苗雅史数学とソフトウエア

HTTPプロトコルとJSP (1) データベース論第3回.

Microsoft Office 2010 クイックガイド～応用編～

ユビキタス社会における学校と携帯電話の関係をさぐる

ケータイの使い道に関心を子どもがケータイをどのように使っているかご存知ですか？

Microsoft Office 2010 クイックガイド～応用編～

ジョブスケジューラで運用効率化？ mihochannel.

ジョブスケジューラで運用効率化？ mihochannel.

2004年度サマースクール in 稚内 JavaによるWebアプリケーション入門

2003年度データベース論安藤　友晴.

数学のかたち暗号を作ろう Masashi Sanae.

第二章インターネットでやり取りする情報を守る

Japan Eucalyptus Users Group 2009年2月27日(土)

Cisco Umbrella のご紹介 2018 年 1 月.

Webサイト制作　第1回動的なページ.

投稿: 投稿前に考えようレッスン＃2：投稿 - 投稿する前に考えよう！

長崎大学工学部情報システム工学科「パターン認識」って・・・何？宮原・喜安研究室.

第6回個人の動画配信補足のためのWeb構築

社会と情報情報社会の課題と情報モラル情報化が社会に及ぼす影響と課題

コミュニケーションとネットワークを探索する

Q q 情報セキュリティ第９回：２００６年６月１６日（金） q q.

第1章いよいよプログラミング！！～文章の表示 printf～

筑波大学附属視覚特別支援学校情報活用村山慎二郎

6　インターネット(2) 6.1 インターネットへの接続ネットワークにつなげば　→ブラウザや電子メールなどのアプリ　　ケーション使用可.

携帯を利用した詐欺の実例・中学生が遭遇した　詐欺の実例.

隔週、楽しみにアクセスさせていただいております。

Microsoft Office 2010 クイックガイド～応用編～

情報技術演習Ⅰ 人文学研究のための情報技術入門 2017/04/13

ネット時代のセキュリティ３（暗号化）２ＳＫ　情報機器工学.

情報ネットワークとコミュニケーション数学領域３回　山本・野地.

中等情報科教育Ⅱ 情報セキュリティの確保.

データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ

電子署名（PGP）森田亙昭牧之内研究室「インターネット実習」Webページ

Presentation transcript:

その情報って本物? あるいは、なぜ未だにこうなのか小島　肇 kjm@rins.ryukoku.ac.jp

たとえばベンダーのセキュリティ情報これって改ざんされてたりするんじゃないだろうか? これって偽サイトだったりするんじゃないんだろうか? 例: http://www.microsoft.com/japan/technet/security/ これって改ざんされてたりするんじゃないだろうか? これって偽サイトだったりするんじゃないんだろうか?

たとえば FreeBSD をインストールところでその .iso、ほんものですか? ftp://ftp.jp.freebsd.org/pub/FreeBSD/ から .iso を get CD-R に焼き焼きそいつで boot インストールところでその .iso、ほんものですか?

確認方法偽サイトかどうか – SSL 改ざんされていないかどうか – 電子署名 SSL は必要? センシティブ情報（パスワード等）のやりとりなどがある場合

ダメな例 MD5 digital signature 置きましたその MD5 値が改ざんされていないという保証はどこにもない。 SSL つけました本物サイトである、ことしか保証しない。そのサイトに格納された文書が改ざんされていないことを保証しているわけではない。 CSS 穴があった日には（後略）

ダメな例（つづき） PGP/GPG で署名しました PGP/GPG 鍵の保証をどうするか、がやっかい。 PKI だって「ほんとにちゃんとやってんのか XXXXXXXX !」とかいう話があるけど… インターネットは使ってません利用している別のネットワーク上（例: 郵便）で改ざんされていないという保証はない。特に、国家権力がらみの場合は…

事例 - Microsoft web page SSL – good 電子署名 – no good web ドキュメントには署名なし昔、U.S. のメール版セキュリティ情報は PGP 署名してあったりしましたが、… 署名が壊れてたりもした (^^;;) Patch やプログラムファイルについては署名がある

事例 – Red Hat web page SSL – good 電子署名 – no good web ドキュメントには署名なし rpm については GPG 署名がある gpg –import /usr/share/rhn/RHNS-CA-CERT rpm –checksig package.rpm この GPG 署名の正しさはどうやって確認する?

事例 – JPCERT/CC 電子署名 – (half?) good 注意喚起、JPCERT/CC レポート等、主要なものには PGP 署名あり。全てではない。署名の確認方法: JPCERT/CC 関係者から名刺をかっぱらい、名刺に刷られた Fingerprint を見る web page SSL – no good 設置予定なし (T_T)。センシティブ情報のやりとりは、今のところはないようだが…

事例 - FreeBSD web page SSL – no good 電子署名 – no good 似たような感じのところは多い… *BSD, Vine, Turbo, … 事例: トロイの木馬版 OpenSSH 配布事件 http://www.openssh.com/txt/trojan.adv そこらじゅうに存在するブツを集めまくった上で比較し、「どうやら本物っぽい」と言うことはできるかも

問題点いろいろ SSL を入れていないところは多いなぜ普及しない? 重い高いウザい個人じゃ取れない

個人向けの証明書サービスを! 個人で（いくつも）ドメインを持つ時代にサービス内容が適合していない「そのサイトが確かにそのドメインのものである」ことを保証してくれれば、多くの人にとってはそれでいいのでは? 住所だの何だのがどうだというのかあまりにも EC 方面に向きすぎドメイン屋さんがやってくれないかなあ…

問題点いろいろ（つづき） Akamai などを使ってると、「セキュリティ証明書の名前が無効であるか、またはサイト名と一致しません」と言われる例: HP, Symantec, NAI, 読売 SSL を入れていても、ブラウザで鍵アイコンが出ないところが結構ある例: IBM, Sony, Oracle, ISSKK

問題点いろいろ（つづき）電子署名されたコンテンツはほとんどない普及してない? いや、俺も署名してないが（^^;）しょせん 2 次情報サイトだし… 動的な web page はどうするのがいいんだろう web サービスの時代（XML 署名）を待つ? それまでは、サイトをまるごと信用する・しないしかない?

個人的 to do SSL 導入手続きはやっぱりウザそう… 署名方面ちょっと考え中… PKI 大規模導入、なんてのは絶対ムリ

Appendix SSL なページがあるかどうか、ちょっと調べてみた結果を http://www.st.ryukoku.ac.jp/~kjm/security/memo/ ssl-enable-sites.txt に置いておきます。署名してません（^^;）