Q q 情報セキュリティ 第2回:2004年4月16日(金) q q.

Slides:



Advertisements
Similar presentations
私情協 授業情報技術講習会 個人情報の取扱い 慶應義塾大学理工学部 山本 喜一 授業情報技術講習会 2 個人情報の定義 JIS Q : 1999 個人情報とは、個人に関する情報であって、 当該情報に含まれる氏名、生年月日その他の 記述、または個人別に付けられた番号、記号.
Advertisements

2.校務情報の整理と管 理 6 校務の情報化. この項目のねらい 校務に関する情報の整理の考え方について理 解する。校務に関する情報の管理にかかる留 意点について理解する。
電子社会設計論 第12回 Electronic social design theory 中 貴俊.
2.コンピュータを使う前に(p.10-11) 第1章 第1節
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
Q q 情報セキュリティ 第1回:2005年4月8日(金) q q.
知識情報演習Ⅲ(後半第1回) 辻 慶太(水)
情報リテラシー(1) ガイダンス 情報リテラシ2003 野村松信・須藤秀紹.
Q q 情報セキュリティ 第6回:2005年5月20日(金) q q.
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
教育学の授業について 具体的事例から自ら課題を.
IT入門B2 (木曜日1限) 第一回 講義概要 2004年月9日30日.
プログラミング演習I 2004年4月14日(第1回) 木村巌.
「まめだくん Ver.1.0」 特徴と利用方法.
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
コンピュータリテラシ (1) 学習目標(到達目標) ・計算機実習室を正しく利用できる。 ・文書作成ソフトの利用方法を学び、報告作成が
第5章 情報セキュリティ(前半) [近代科学社刊]
計算機リテラシーM 第1回 講義の概要と計算機の使い方 伊藤高廣.
情報数理Ⅱ 平成27年9月30日 森田 彦.
2010年度 コンピュータリテラシー クラス:  B1 講義日: 前学期 月曜日7時限.
「かんたんスタートガイド」 「エクスプレス予約」をご利用には、 まず「会員登録」が必要です。
プログラミング言語論 プログラミング言語論 ガイダンス 水野 嘉明 ガイダンス 1 1.
経済情報処理ガイダンス 神奈川大学 経済学部.
データベース設計 データベース設計 第0回 オリエンテーション 坂口利裕.
Q q 情報セキュリティ 第2回:2007年4月20日(金) q q.
Q q 情報セキュリティ 第1回:2006年4月14日(金) q q.
Q q 情報セキュリティ 第1回:2007年4月13日(金) q q.
ICT活用指導力チェックシート(小学校版)
Ibaraki Univ. Dept of Electrical & Electronic Eng.
シミュレーション論 Ⅱ 第14回 まとめ.
シミュレーション論 Ⅱ 第15回 まとめ.
ようこそ 明るいネットワーク社会へ これから第6回グループ検討会の発表を始めます。 ご指導よろしくお願いします。 2018/11/9 1.
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
情報化が社会に及ぼす影響 情報セキュリティの確保
Q q 情報セキュリティ 第3回:2005年4月28日(金) q q.
Q q 情報セキュリティ 第3回:2005年4月22日(金) q q.
マーケティング・マネジメント ウィラワン・ドニ・ダハナ 火曜日2時限.
セキュリティ 05A2013 大川内 斉.
データ構造とアルゴリズム論 終章 専門科目におけるプログラミング
Linux リテラシ 2006 第5回 SSH と SCP CIS RAT.
WEBアプリケーションの開発 2002年度春学期 大岩研究会2.
新入生ガイダンス-情報科目 総合情報基盤センター 准教授 永井孝幸.
情報通信ネットワークの 仕組み.
Q q 情報セキュリティ 第8回:2005年6月3日(金) q q.
Q q 情報セキュリティ 第2回:2006年4月21日(金) q q.
ガイダンス 情報システム管理 ガイダンス 水野 嘉明 情報システム管理 1.
Q q 情報セキュリティ 第2回:2005年4月15日(金) q q.
サイバーセキュリティ基礎論 ― IT社会を生き抜くために ―
Q q 情報セキュリティ 第9回:2006年6月16日(金) q q.
情報処理基礎A・B 坂口利裕 横浜市立大学・商学部
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
シミュレーション論 Ⅱ 第1回.
経済情報処理ガイダンス 神奈川大学 経済学部.
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
人を幸せにするアプリケーションの開発 2004年度春学期 大岩研究プロジェクト2 2004年4月8日(木) 発表:武田林太郎.
2.コンピュータを使う前に(p.10-11) 第1章 第1節
リレーショナル・データベース J2EE I (データベース論) 第2回 /
情報技術演習Ⅰ 人文学研究のための情報技術入門 2017/04/13
情報技術演習Ⅰ 人文学研究のための情報技術入門 2015/04/09
情報数理Ⅱ 平成28年9月21日 森田 彦.
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
情報数学Ⅲ 5,6 (コンピュータおよび情報処理)
情報数学5,6 (コンピュータおよび情報処理) 講義内容
中等情報科教育Ⅱ 情報セキュリティの確保.
自然言語処理2016 Natural Language Processing 2016
Q q 情報セキュリティ 第7回:2005年5月27日(金) q q.
情報モラル06 情報 セキュリティ.
情報基礎Ⅰ 情報セキュリティの部 共通認証IDの使い方
Presentation transcript:

q q 情報セキュリティ 第2回:2004年4月16日(金) q q

この科目について 今年度からの新規開講科目 担当者は村川猛彦(むらかわ たけひこ) 授業情報はWebで 5セメスタ(3年次前期)の「専門科目・選択」に分類 入学年度の都合で,単位を修得しても「自由選択」になる 担当者は村川猛彦(むらかわ たけひこ) 昨年度までは「田中猛彦」 2003年10月に結婚&改姓 質問・相談は takehiko@sys.wakayama-u.ac.jp へ 授業情報はWebで http://www.wakayama-u.ac.jp/~takehiko/secu2004/

教科書 結城浩, 『暗号技術入門―秘密の国のアリス』, ソフトバンクパブリッシング, ISBN4797322977 比重: 教科書40%,その他60% スライドとの併用 教科書に書いていることはスライドにしない 教科書に書いていないが理解してほしいことはスライドにする 予習は必要? 4月までに教科書を軽く読み通してほしい

成績評価の方法 レポート:10点×2回 期末試験:80点 出席点なし 昨年度実施した授業・試験の例(情報処理Ⅱ) 個別の点数照会には応じない 自筆ノートのみ持込可(教科書も不可)にする予定 出席点なし 昨年度実施した授業・試験の例(情報処理Ⅱ) http://www.wakayama-u.ac.jp/~takehiko/ipii2003/ 個別の点数照会には応じない

関連する科目 「通信」に関連して 「管理」に関連して 情報理論 情報ネットワーク(現:情報ネットワークⅠ) 情報ネットワーク応用(現:情報ネットワークⅡ) 「管理」に関連して データベース オブジェクト指向1~2

情報セキュリティを学ぶのに必要なもの 広く深い知識 思いやりの心 ある種の数学 プログラミングやインターネットの知識は? 常にメンテナンス 知識を得るための知識も 思いやりの心 情報セキュリティは人の問題 「誰がいて,それぞれ何ができて何をしたいか」の分析が必須 ある種の数学 離散数学,アルゴリズム理論,計算量理論 プログラミングやインターネットの知識は? 必須ではないが,理解の助けにはなる

情報セキュリティは何「でない」か ハッカーの養成 暗号理論 「破られたらおしまい」という考え方 専門家だけのものではなく,パスワードなど,誰もが注意しないといけない問題もある. 暗号理論 「理論」と「実装」と「運用」の一つでも不十分なシステムは,正しく機能しない. 「破られたらおしまい」という考え方 破られるのにどれだけのコストを必要とするかが安全性の尺度となる.つまり,情報セキュリティは対象を定量的に取り扱える.

身近な話題 パスワード管理 パソコン管理 ソーシャルエンジニアリング なりすまし,不正注文 良いパスワードを利用する ときどき変更する ウイルス発信,踏み台(DDoSなど) ウイルス対策ソフトを入れる Windows Update,apt-get updateなどによる更新をまめに実施する ソーシャルエンジニアリング アクセス権限の奪取 善意を装った情報収集,情報操作には応じない 保護すべき計算機や情報を把握しておく

パスワード 認証モデル Prover (証明者) Verifier (検証者) ①入力 ②判定結果 この入力に「個人識別情報」と「パスワード」の組を用いて,個人を識別する 入力時,パスワードは画面上に表示されない 個人識別情報は,システムが提供する パスワードは,システムが提供するものもあれば,利用者が設定するものもある どのようなパスワードを使用すれば安全か?

パスワード解析の前提 敵対者の目標:他人の個人識別情報(ユーザ名,銀行のカードなど)を既知として,そこから,認証に必要なパスワードを発見すること 認証システム 敵対者が同じ認証システムを所有する:UNIXのパスワードクラック いくらでも試せる 敵対者は認証システムを所有しない:Webサーバ,銀行ATM 失敗するとペナルティ Cracker (敵対者) P V

パスワード解析の種類 ブルート・フォース・アタック(brute-force attack,総当り法) 辞書攻撃

ブルート・フォース・アタック すべてのパスワード候補を認証システムに入力し,「当たり」が出るまで続ける 時間は,1回の判定時間×探索終了までの回数 探索終了までの回数は,パスワードの候補の数に比例 パスワードになり得る値からなる集合を「パスワード空間」という 期待値は,パスワード空間のサイズの半分 パスワード空間が大きいほど安全

数字によるパスワード(1) 銀行の暗証番号 4桁の数字:10000通り もし敵対者が認証システムを所有していて,(電子工作などで装置を作って)1秒間に100回の入力ができるなら,最大でも100秒でパスワードが割り出せる. 現実には,1回の入力が0.01秒とできないように対処しているので,一応安全に運用されている. 8桁の数字なら?:100000000通り 同様の敵対者の行動で,最大106秒…およそ11.5日 誰もが覚えていられる?

数字によるパスワード(2) 10文字 4文字で10000通り 8文字で100000000通り(1.00×108通り)

英数字によるパスワード 62文字 4文字で14776336通り 8文字で218340105584896通り(2.18×1014通り)

英数字と記号によるパスワード 95文字 4文字で81450625通り 8文字で6634204312890625通り(6.63×1015通り)

パスワード空間のサイズ:まとめ 数字のみ<英数字<英数字と記号 1文字増えるとパスワード空間がうんと大きくなる 文字数 数字のみ 英数字 1.00×104 1.48×107 8.14×107 4 1.11×104 1.50×107 8.23×107 1.00×105 9.16×108 7.73×109 5 1.11×105 9.31×108 7.82×109 1.00×106 5.68×1010 7.35×1011 6 1.11×106 5.77×1010 7.43×1011 1.00×107 3.52×1012 6.98×1013 7 1.11×107 3.58×1012 7.06×1013 1.00×108 2.18×1014 6.63×1015 8 1.11×108 2.21×1014 6.70×1015 ちょうど 以内 数字のみ<英数字<英数字と記号 1文字増えるとパスワード空間がうんと大きくなる

辞書攻撃 問題のあるパスワード 辞書と,選ばれる傾向をもとに,パスワードを発見する方法を「辞書攻撃」という 個人識別情報そのもの,または一部,または少し付加しただけ takehiko, take, takehiko1, takehi0 4桁の数字の場合,電話番号や生年月日 辞書に載っている単語 apple, web 辞書に載っている単語を組み合わせただけ appleweb, apple!web 辞書と,選ばれる傾向をもとに,パスワードを発見する方法を「辞書攻撃」という ツールが存在する ブルート・フォース・アタックと別の方法で見つかってしまう!

パスワードの選び方 どのようなパスワードを使用すればよいか? 数字のみとなっている場合は,それに従う UNIXのパスワードでは,英数字と記号を織り交ぜて,6文字以上8文字以内にする 自分は思い出しやすいものにする 長ければいいってもんでもない 辞書攻撃で破られるようなパスワードは使用しない(?) パスワードをメモしない(?) あちこちの認証システムで同一のパスワードにしない(?)

システム開発者・管理者の立場で パスワードはどう設定するか? 現状の最善解は? システムが生成,提供する よいパスワード生成プログラムを選べば安全にできる ユーザは覚えられず,紙などに記録するかも ユーザに自由に決めてもらう 安全性をユーザに委ねる リマインダを使用する パスワードを忘れた人が,あらかじめ登録しておいた簡単な質問(例:母親の旧姓は?)に正しく答えれば,パスワードを教える 質問次第で,パスワードなしと同じになってしまう 現状の最善解は? 個人識別情報と初期パスワードを提供する ユーザがパスワードを決め,初期パスワードは破棄する

本日のまとめ この科目の進め方など パスワードのセキュリティ よいパスワード,よい管理方式を選ぶ 総当り法で破られるパスワード空間は,まずい 総当り法以外でも破られることがある