Download presentation
Presentation is loading. Please wait.
Published byゆいと なかきむら Modified 約 8 年前
1
情報セキュリティ 第12回 公開鍵暗号基盤
2
脅威と暗号技術 セキュリティに対する脅威 脅かされる特性 暗号技術 機密性 正真性 認証 否認不可能性 盗聴 (秘密が漏れる) 改竄 (情報が書き換えられる) なりすまし (正しい送信者のふりをす る) 否認 (後から私じゃないと言 う) 共通鍵暗号 公開鍵暗号 一方向ハッシュ関数 メッセージ認証コード デジタル署名 公開鍵の管理、 運用に関する枠 組み
3
なぜ公開鍵基盤( PKI )は必 要? 公開鍵すり替え攻撃 A は A の公開鍵 PK A を B へ 送信。 敵 C は PK A を横取りし、 PK C に書換えて B へ送信。 B は平文 X の暗号文 ( PK C (X) )を A へ送信。 敵 C は PK C (X) を横取りし、 自分の秘密鍵 SK C で平文 X を復号。 公開鍵 PK A や PK C が誰のも のかを管理、確認する基 盤があれば、すり替え攻 撃は起きない。 AさんAさん 公開鍵すり替え攻撃 BさんBさん 敵C敵C PK A PK C PK C (X) PK A (X) SK C SK A 平文 X B へ送信され た A の公開鍵 PK A を横取 り C は PK A を PK C に 書換えて B へ送 信 Man-in-the-middle 攻撃 B は平文 X を敵 C の公開鍵 PK C で 暗号して送信 すり替えがばれ ないように、 PK A (X) を A へ送 信 C の秘密鍵 SK C で平文 X を復号
4
トラストモデ ル 公開鍵が誰のものかを確認す る二つの仕組みがある。 信用の輪モデル 個人レベルの保証 A と B 双方と信用関係がある C が間に入って、一方( B )の 公開鍵( PK B )を他方( A ) へ C のデジタル署名を付けて 渡す 認証局モデル 第三者機関(認証局)が公開 鍵の所有者を保証 認証局( CA )は B の公開鍵 ( PK B )と CA の署名を配布 B は PK B と CA の署名を A へ送 信 A は CA の署名を使って、 PK B が B の公開鍵であることを確 認。 信用の輪 AさんAさん CさんCさん BさんBさん PK B C の署名 認証局 AさんAさん BさんBさん PK B CA の署名 PK B CA の署名 認証局( CA )
5
証明書のバージョン シリアル番号 CA の識別名 証明書の有効期限 証明書発行依頼者の識別名 証明書発行依頼者の公開鍵についての情 報 ・公開鍵のアルゴリズム ・公開鍵そのもの CA が使うデジタル署名のアルゴリズム CA のデジタル署名 + メッセージ ダイジェス ト メッセージ ダイジェス ト CA の秘密鍵 ハッシュ関数 (MD4, MD5, SHA) 認証局 (Certificate Authority) 証明書証明書 B さん CA のデジタル署 名付き証明書の発 行 証明書 CA の デジタル署 名 証明書 CA の デジタル署 名 メッセージ ダイジェス ト Aさん CA の公開鍵 ハッシュ関 数 一致すれば CA が発行し た本物の証明 書 「 CA の公開鍵」は多くの場合、 OS /ブラ ウザにプリインストールされている 認証局( CA ) B さんの 公開鍵を含 む ハッシュ値
6
印鑑証明と公開鍵証明書 印鑑証明 印影㊞ 持ち主情報 ( 名前、生年月日など ) 交付年月日 発行自治体名 自治体長印 公開鍵証明書 持ち主の公開鍵 持ち主情報 ( 名前、国籍など ) 発行年月日 ( 有効期限 ) 発行認証局の情報 認証局のデジタル署名
7
IE 11 内の CA の証明書 「ツール」 → 「インターネットオプション」 → 「コンテンツ」タブ → 「信頼されたルート証明機関」タブ Sha1 によるこの証明書の ハッシュ値(メッセージ ダイジェスト) 本物かどうかの確認は必 要 セコムのリポジトリでチェックで きる ( https://repository.secomtrust.ne t/SC-Root1/ )
8
PKI の構成 証明書保有者 証明書の発行証明書の申請 登録局 (RA) 認証局 (CA) 証明書申請 リポジトリ 証明書利用者 証明書、 CRL の取得 暗号化、署名 証明書、証明書失 効リスト( CRL ) を公開 申請者の本人性の 審査・確認を行う 公開鍵の所有者を証明する証明書を発 行 証明書の信頼性(秘密鍵の漏洩等)を 監視し、証明書失効リスト (CRL )作成 証明書 失効リスト 証明書、 CRL セコムの例: https://repository.seco mtrust.net/SC-Root1/
9
証明書の利用 サーバ証明書 HTTPS サーバの所有者を証明 EV SSL 証明書 厳格な認証プロセスを経て発行され るサーバ証明書 認証局は認証プロセスなどがガイド ラインに従っているか 1 年毎に外部 監査を受ける ルート証明書 認証局( C )の公開鍵証明書を C の 秘密鍵 SK C を使って署名した証明書 HTTPS 通信時、クライアントはルー ト証明書が本物であることを検証し 、次に認証局の公開鍵でサーバ( S )の証明書を検証 みずほ銀行のオンライン・バンキン グ Amazon.co.jp へのサインイ ン 証明書 チェーン ルート証明書 SK C (C, PK C ) C, PK C サーバ証明書 SK C (S, PK S ) S, PK S PK C CA の公開鍵 PK C の検証 サーバ S の公開 鍵 PK S の検証 EV SSL 証明書は 緑色
10
証明書の利用 住民基本台帳ネットワーク 行政サービスの利便性向上と合理化 全国一律の行政サービスを可能 様々な行政サービス(国税電子申告、 e- Tax )を利用できる 住民基本台帳カード(住基カード) 氏名、生年月日、性別、住所などが記載 個人認証のため、証明書と秘密鍵を格納 TPM ( Trusted Platform Module ) ハードウェア耐タンパー性を持つセキュ リティチップ マザーボードに直付けされ、コプロセッ サとして働く 公開鍵証明書を用いた端末の個体識別、 詐称困難な端末認証 アプリ、 OS の改竄をチェック、 ストレージ暗号/復号 内部解析に対し物理的に破損
Similar presentations
© 2024 slidesplayer.net Inc.
All rights reserved.