Presentation is loading. Please wait.

Presentation is loading. Please wait.

2006/09/30 情報メディアフォーラム in 札幌 校内における情報セキュリティと Web サーバ

Similar presentations


Presentation on theme: "2006/09/30 情報メディアフォーラム in 札幌 校内における情報セキュリティと Web サーバ"— Presentation transcript:

1 2006/09/30 情報メディアフォーラム in 札幌 校内における情報セキュリティと Web サーバ 稚内北星学園大学情報メディア学部金山典世kanayama@wakhok.ac.jp稚内北星学園大学情報メディア学部金山典世kanayama@wakhok.ac.jp

2 2006/09/30 情報メディアフォーラム in 札幌 学校内におけるセキュリティ (1) セキュリティ一般は中々難しい問題 セキュリティ一般は中々難しい問題 話を情報の共有に絞る 話を情報の共有に絞る  機密性の階層  校内、教職員内、一部教職員  学校内で機密性が必要  成績など保存が必要  個人情報など流出を防止  生徒氏名, 連絡網 セキュリティ一般は中々難しい問題 セキュリティ一般は中々難しい問題 話を情報の共有に絞る 話を情報の共有に絞る  機密性の階層  校内、教職員内、一部教職員  学校内で機密性が必要  成績など保存が必要  個人情報など流出を防止  生徒氏名, 連絡網

3 2006/09/30 情報メディアフォーラム in 札幌 学校内におけるセキュリティ (2) 情報をどのように共有するか? 情報をどのように共有するか?  ネットワーク上に置く  誰でも閲覧  ネットワークに侵入されると、  無線 LAN から侵入されると、  何らかのウィルスやスパイウェア からの流出  ある種の制限、制御が必要 情報をどのように共有するか? 情報をどのように共有するか?  ネットワーク上に置く  誰でも閲覧  ネットワークに侵入されると、  無線 LAN から侵入されると、  何らかのウィルスやスパイウェア からの流出  ある種の制限、制御が必要

4 2006/09/30 情報メディアフォーラム in 札幌 WindowsXP 2 種類 Home Edition Home Edition  簡易ファイル共有 (WinXP Pro も可 )  問題点 共有フォルダーには誰でもアクセス可 能 Professional Edition Professional Edition  ユーザーごとのアクセス制御  アクセスの可否, 接続数の制限など細かな制御  利用するコンピュータには 適切なユーザアカウントが必要 Home Edition Home Edition  簡易ファイル共有 (WinXP Pro も可 )  問題点 共有フォルダーには誰でもアクセス可 能 Professional Edition Professional Edition  ユーザーごとのアクセス制御  アクセスの可否, 接続数の制限など細かな制御  利用するコンピュータには 適切なユーザアカウントが必要

5 2006/09/30 情報メディアフォーラム in 札幌 WinXP における暗号化 (1) Pro と Home Edition の機能の差 Pro と Home Edition の機能の差 EFS EFS  Encryption File System: 暗号化ファイルシステ ム  Pro のみ 全て Pro で統一すれば利用できるが、 全て Pro で統一すれば利用できるが、  アカウントの統一的運用  EFS の秘密鍵の保管などの問題  EFS+CIFS だとネットワークからは丸見え  ファイルのあるサーバ上で復号化 Pro と Home Edition の機能の差 Pro と Home Edition の機能の差 EFS EFS  Encryption File System: 暗号化ファイルシステ ム  Pro のみ 全て Pro で統一すれば利用できるが、 全て Pro で統一すれば利用できるが、  アカウントの統一的運用  EFS の秘密鍵の保管などの問題  EFS+CIFS だとネットワークからは丸見え  ファイルのあるサーバ上で復号化

6 2006/09/30 情報メディアフォーラム in 札幌 WinXP における暗号化 (2)  WebDAV + EFS  ファイル転送後、クライアントで復号  但し、 EFS の問題は残る  EFS ユーザプロセスからは透過的  WebDAV + EFS  ファイル転送後、クライアントで復号  但し、 EFS の問題は残る  EFS ユーザプロセスからは透過的 ウィルスから も! 結論 結論  Windows の独自機能による暗号化は 運用の可用性で劣る  標準規格を使うべし  GnuPG (OpenPGP) 結論 結論  Windows の独自機能による暗号化は 運用の可用性で劣る  標準規格を使うべし  GnuPG (OpenPGP)

7 2006/09/30 情報メディアフォーラム in 札幌 WinXP による共有の方法 共有の方法は? 共有の方法は?  CIFS + 標準暗号方式  ネットワーク上に暗号化ファイル  復号化  ネットワーク上に書き込む危険性  Read only がベター  CIFS だと、面倒 ( アップロードとの非対称 性 ) WWW やその上の CMS などが整理の上でも良 い WWW やその上の CMS などが整理の上でも良 い  CMS(Contents Management System) 共有の方法は? 共有の方法は?  CIFS + 標準暗号方式  ネットワーク上に暗号化ファイル  復号化  ネットワーク上に書き込む危険性  Read only がベター  CIFS だと、面倒 ( アップロードとの非対称 性 ) WWW やその上の CMS などが整理の上でも良 い WWW やその上の CMS などが整理の上でも良 い  CMS(Contents Management System)

8 2006/09/30 情報メディアフォーラム in 札幌 情報の共有方法のお奨め Web 上で管理 Web 上で管理  視認性、管理に優れている  認証を使ってアクセス制御  出来れば、 CMS を使うと更に良し 更に機密性が必要ならば、 更に機密性が必要ならば、  暗号化  標準規格 OpenPGP  実装 GnuPG Web 上で管理 Web 上で管理  視認性、管理に優れている  認証を使ってアクセス制御  出来れば、 CMS を使うと更に良し 更に機密性が必要ならば、 更に機密性が必要ならば、  暗号化  標準規格 OpenPGP  実装 GnuPG

9 2006/09/30 情報メディアフォーラム in 札幌 CMS(1) blog, Wiki などは CMS を装備 blog, Wiki などは CMS を装備  用途が問題  CMS として開発 → blog, Wiki は良い  逆は駄目 管理に階層性がある 管理に階層性がある  権限が委譲できる コンテンツ管理が閉じている コンテンツ管理が閉じている 出来れば簡単⇔ Enterprise CMS 出来れば簡単⇔ Enterprise CMS blog, Wiki などは CMS を装備 blog, Wiki などは CMS を装備  用途が問題  CMS として開発 → blog, Wiki は良い  逆は駄目 管理に階層性がある 管理に階層性がある  権限が委譲できる コンテンツ管理が閉じている コンテンツ管理が閉じている 出来れば簡単⇔ Enterprise CMS 出来れば簡単⇔ Enterprise CMS

10 2006/09/30 情報メディアフォーラム in 札幌 CMS(2) 欲しいモジュールがあるか ? 欲しいモジュールがあるか ?  Wiki, blog だけでは困る  カレンダー, スケジュール  ニュースお知らせ  フォーラム議論できる Zopehttp://zope.jp/, http://www.zope.org/ Zopehttp://zope.jp/, http://www.zope.org/http://zope.jp/http://www.zope.org/http://zope.jp/http://www.zope.org/  豊富なモジュール, groupware (Plone)  管理は万全 moodle moodle  CMS ではないが … LMS (Learning Manamgement system) 欲しいモジュールがあるか ? 欲しいモジュールがあるか ?  Wiki, blog だけでは困る  カレンダー, スケジュール  ニュースお知らせ  フォーラム議論できる Zopehttp://zope.jp/, http://www.zope.org/ Zopehttp://zope.jp/, http://www.zope.org/http://zope.jp/http://www.zope.org/http://zope.jp/http://www.zope.org/  豊富なモジュール, groupware (Plone)  管理は万全 moodle moodle  CMS ではないが … LMS (Learning Manamgement system)

11 2006/09/30 情報メディアフォーラム in 札幌 暗号 暗号システム 暗号システム  K( 平文 )→ 暗号文  K -1 (暗号文 )→ 平文 暗号の解読 暗号の解読  暗号鍵 K, 復号鍵 K -1 共に知られたと きに、暗号は解読された状態になる 暗号システム 暗号システム  K( 平文 )→ 暗号文  K -1 (暗号文 )→ 平文 暗号の解読 暗号の解読  暗号鍵 K, 復号鍵 K -1 共に知られたと きに、暗号は解読された状態になる

12 2006/09/30 情報メディアフォーラム in 札幌 対称暗号方式 対称暗号方式 ( 共通暗号鍵方式 ) 対称暗号方式 ( 共通暗号鍵方式 )  K = K -1  一つの暗号鍵のみを使う  暗号鍵を秘密にする必要 ( 秘密鍵暗 号 )  通信に使う際には困難  暗号化, 復号化が早い  DES (Data Encryption Standard)  AES (Adbanced Encryption Standard) 対称暗号方式 ( 共通暗号鍵方式 ) 対称暗号方式 ( 共通暗号鍵方式 )  K = K -1  一つの暗号鍵のみを使う  暗号鍵を秘密にする必要 ( 秘密鍵暗 号 )  通信に使う際には困難  暗号化, 復号化が早い  DES (Data Encryption Standard)  AES (Adbanced Encryption Standard)

13 2006/09/30 情報メディアフォーラム in 札幌 非対称暗号方式 I 非対称暗号方式 ( 公開鍵暗号方式 ) 非対称暗号方式 ( 公開鍵暗号方式 )  K ≠ K -1 通信に当たって両者が鍵 ( 暗号鍵 ) を公開 通信に当たって両者が鍵 ( 暗号鍵 ) を公開 相手の暗号鍵を使ってメッセージを送 る 相手の暗号鍵を使ってメッセージを送 る 非対称暗号方式 ( 公開鍵暗号方式 ) 非対称暗号方式 ( 公開鍵暗号方式 )  K ≠ K -1 通信に当たって両者が鍵 ( 暗号鍵 ) を公開 通信に当たって両者が鍵 ( 暗号鍵 ) を公開 相手の暗号鍵を使ってメッセージを送 る 相手の暗号鍵を使ってメッセージを送 る A 公開鍵 BK 暗号化 B 秘密鍵 BP 文 文 文

14 2006/09/30 情報メディアフォーラム in 札幌 非対称暗号方式 II RSA RSA  非常に大きな数の素因数分解は困難  2 1024 ~ 2 2048 2 1000 =(2 10 ) 100 ~ 10 300  Public になったので ElGamal 暗号 ElGamal 暗号  Diffie-Hellman 交換アルゴリズム  離散対数問題  難問!  最初から Public  GnuPG では標準 (RSA も使えるが) RSA RSA  非常に大きな数の素因数分解は困難  2 1024 ~ 2 2048 2 1000 =(2 10 ) 100 ~ 10 300  Public になったので ElGamal 暗号 ElGamal 暗号  Diffie-Hellman 交換アルゴリズム  離散対数問題  難問!  最初から Public  GnuPG では標準 (RSA も使えるが)

15 2006/09/30 情報メディアフォーラム in 札幌 公開鍵暗号方式のネック 公開鍵をどうやって管理するか ? 公開鍵をどうやって管理するか ?  特別な所が管理認証局 (CA)  CA に間違った鍵が置かれたら …  経費の問題  信頼の輪 Web of Trust  公開は適当にやる PKS:Public Key Server  正当性を別の人が電子署名で行う  正当性の保証の連鎖  何を信頼するかは個々人に委ねる 公開鍵をどうやって管理するか ? 公開鍵をどうやって管理するか ?  特別な所が管理認証局 (CA)  CA に間違った鍵が置かれたら …  経費の問題  信頼の輪 Web of Trust  公開は適当にやる PKS:Public Key Server  正当性を別の人が電子署名で行う  正当性の保証の連鎖  何を信頼するかは個々人に委ねる

16 2006/09/30 情報メディアフォーラム in 札幌 一方向ハッシュ関数 暗号システムではないが 暗号システムではないが 電子メイルなどの用途で開発 電子メイルなどの用途で開発 ハッシュ関数 ハッシュ関数  例 151 → 15 で割った余り 1  十分結果の集合が多いと 与えられた文に対して作られた値と同 じ値になるような別の文を作るのは不 可能 ( ?) 与えられた文に対して作られた値と同 じ値になるような別の文を作るのは不 可能 ( ?)  MD5Message Digest (FreeBSD, OpenBSD)  SHASecure Hash Algrism 暗号システムではないが 暗号システムではないが 電子メイルなどの用途で開発 電子メイルなどの用途で開発 ハッシュ関数 ハッシュ関数  例 151 → 15 で割った余り 1  十分結果の集合が多いと 与えられた文に対して作られた値と同 じ値になるような別の文を作るのは不 可能 ( ?) 与えられた文に対して作られた値と同 じ値になるような別の文を作るのは不 可能 ( ?)  MD5Message Digest (FreeBSD, OpenBSD)  SHASecure Hash Algrism

17 2006/09/30 情報メディアフォーラム in 札幌 ファイルの検証 ハッシュ値 ハッシュ値  一方向ハッシュ関数を用いて正当性  ハッシュ値は完全ではないが、今のところ は  方法  ファイルのハッシュ値を計算  予め手に入れたハッシュ値を比較  用途  配布ファイルの正当性のチェック  既存システムファイルのチェック  改ざんのチェック  問題 ハッシュ値を改ざんされたら … ハッシュ値 ハッシュ値  一方向ハッシュ関数を用いて正当性  ハッシュ値は完全ではないが、今のところ は  方法  ファイルのハッシュ値を計算  予め手に入れたハッシュ値を比較  用途  配布ファイルの正当性のチェック  既存システムファイルのチェック  改ざんのチェック  問題 ハッシュ値を改ざんされたら …

18 2006/09/30 情報メディアフォーラム in 札幌 PGP PGP (Pretty Good Privacy) PGP (Pretty Good Privacy)  電子署名公開暗号鍵方式を逆に使う  内容証明一方向ハッシュ関数  暗号化共通鍵暗号方式  鍵の秘匿公開鍵暗号方式 PGP (Pretty Good Privacy) PGP (Pretty Good Privacy)  電子署名公開暗号鍵方式を逆に使う  内容証明一方向ハッシュ関数  暗号化共通鍵暗号方式  鍵の秘匿公開鍵暗号方式 本文 署名 ハッシュ値 暗号文 共通鍵 暗号文 共通鍵 秘密鍵 本文 鍵サーバ 公開鍵を公開

19 2006/09/30 情報メディアフォーラム in 札幌 GnuPG PGP 商品, 暗号 IDEA に特許 PGP 商品, 暗号 IDEA に特許 OpenPGP 標準化規格 (RFC2440) OpenPGP 標準化規格 (RFC2440) GnuPG (Gnu Privacy Guard) GnuPG (Gnu Privacy Guard)  OpenPGP の実装  データ暗号化 AES,3DES  鍵管理、デジタル署名 CAST5,RSA  一方向ハッシュ関数 SHA,MD5  メイルに良く使われるが、ファイル一 般に使える仕組み !! PGP 商品, 暗号 IDEA に特許 PGP 商品, 暗号 IDEA に特許 OpenPGP 標準化規格 (RFC2440) OpenPGP 標準化規格 (RFC2440) GnuPG (Gnu Privacy Guard) GnuPG (Gnu Privacy Guard)  OpenPGP の実装  データ暗号化 AES,3DES  鍵管理、デジタル署名 CAST5,RSA  一方向ハッシュ関数 SHA,MD5  メイルに良く使われるが、ファイル一 般に使える仕組み !!

20 2006/09/30 情報メディアフォーラム in 札幌 GnuPG へのメイルクライアントの対 応 Outlook ExpressPlugin Outlook ExpressPlugin Akira Akira Bekky Bekky Eudora Eudora Mozilla,ThunderbirdEnigmail(ext) Mozilla,ThunderbirdEnigmail(ext) 電信八号 Plugin 電信八号 Plugin 秀丸メール 秀丸メール cf. http://www.cla-ri.net/pgp/pgp04.html cf. http://www.cla-ri.net/pgp/pgp04.html Outlook ExpressPlugin Outlook ExpressPlugin Akira Akira Bekky Bekky Eudora Eudora Mozilla,ThunderbirdEnigmail(ext) Mozilla,ThunderbirdEnigmail(ext) 電信八号 Plugin 電信八号 Plugin 秀丸メール 秀丸メール cf. http://www.cla-ri.net/pgp/pgp04.html cf. http://www.cla-ri.net/pgp/pgp04.html

21 2006/09/30 情報メディアフォーラム in 札幌 GnuPG 用のツール gpg4win gpg4win  GnuPG 本体  WinPT 鍵管理  GPA 鍵管理 (WinPT と少し違う )  GPGolOutlook2003 用プラグイン  GPG ee Explorer 用プラグイン  Sylpheed -Clawsmail クライ アント gpg4win gpg4win  GnuPG 本体  WinPT 鍵管理  GPA 鍵管理 (WinPT と少し違う )  GPGolOutlook2003 用プラグイン  GPG ee Explorer 用プラグイン  Sylpheed -Clawsmail クライ アント

22 2006/09/30 情報メディアフォーラム in 札幌 時間的に Web サーバ単体での アクセス制御は困難 時間的に Web サーバ単体での アクセス制御は困難 技術レベルも高くなる 技術レベルも高くなる 運用的にも面倒 運用的にも面倒 結局、 CMS が便利 結局、 CMS が便利 moodle でやります … moodle でやります … 時間的に Web サーバ単体での アクセス制御は困難 時間的に Web サーバ単体での アクセス制御は困難 技術レベルも高くなる 技術レベルも高くなる 運用的にも面倒 運用的にも面倒 結局、 CMS が便利 結局、 CMS が便利 moodle でやります … moodle でやります … お詫びお詫び

23 2006/09/30 情報メディアフォーラム in 札幌 今日の実習 仮想化ソフト 仮想化ソフト  VMplayer 大学の実習マシンの環境 ゲスト OS ゲスト OS  FreeBSDapache+moodle, pks  WindowsXP クライアント, GnuPG IP アドレスの変更 IP アドレスの変更  WebminWeb での管理 apache の起動 apache の起動 moodle moodle GnuPG GnuPG 仮想化ソフト 仮想化ソフト  VMplayer 大学の実習マシンの環境 ゲスト OS ゲスト OS  FreeBSDapache+moodle, pks  WindowsXP クライアント, GnuPG IP アドレスの変更 IP アドレスの変更  WebminWeb での管理 apache の起動 apache の起動 moodle moodle GnuPG GnuPG

24 2006/09/30 情報メディアフォーラム in 札幌 VMware, VMplayer host OS (Windows, Linux) VMware (Workstation, Player) FreeBSDLinux WindowsXP guest OS

25 2006/09/30 情報メディアフォーラム in 札幌 guestOS とネットワーク FreeBSD host OS Network

26 2006/09/30 情報メディアフォーラム in 札幌 moodle 実行環境 moodle PHP Apache MySQL or Postgres Database OS (Linux, FreeBSD, unix, Windows)

27 2006/09/30 情報メディアフォーラム in 札幌 今日の実習 仮想化ソフト 仮想化ソフト  VMplayer 大学の実習マシンの環境 ゲスト OS ゲスト OS  FreeBSDapache+moodle, pks  WindowsXP クライアント, GnuPG IP アドレスの変更 IP アドレスの変更  WebminWeb での管理 apache の起動 apache の起動 moodle moodle GnuPG GnuPG 仮想化ソフト 仮想化ソフト  VMplayer 大学の実習マシンの環境 ゲスト OS ゲスト OS  FreeBSDapache+moodle, pks  WindowsXP クライアント, GnuPG IP アドレスの変更 IP アドレスの変更  WebminWeb での管理 apache の起動 apache の起動 moodle moodle GnuPG GnuPG


Download ppt "2006/09/30 情報メディアフォーラム in 札幌 校内における情報セキュリティと Web サーバ"

Similar presentations


Ads by Google