リモートログインと Secure Shell 2005 年度 EPnetFaN 座学編 第8回 (2005/07/01)

Presentation on theme: "リモートログインと Secure Shell 2005 年度 EPnetFaN 座学編 第8回 (2005/07/01)"— Presentation transcript:

1 リモートログインと Secure Shell 2005 年度 EPnetFaN 座学編 第8回 (2005/07/01)
北海道大学 理学研究科 地球流体力学研究室 D1 森川靖大

2 2005 年度 EPnet FaN

3 第8回 座学編

4 リモートログイン

5 と

6 Secure SHell

7 Presented by Yasuhiro Morikawa

8 With (それなりに) Takahashi Method

9 １

10 リモートログイン

11 昨今ネットワークの発達により

12 ネットサーフィン

13 電子 メール

14 大容量 データダウンロード

15 などなど 様々な 「サービス」

16 「ネットワークを利用する」ことの多くは

17 「サービスしてもらう」 行為

18 例

19 WWW Request Messages WWW Server HTML etc. ＨＴＭＬ root guest

20 Mail Smtp Server Pop Server Transfer Store Send Mail Get Mail

21 FTP Request Messages FTP Server Various files ? root

22 しかし

23 サービスする側にとってもネットワークは非常に強力なツール

24 その 1つが

25 リモートログイン (しつこい? （゜Д ゜ ;）)

26 まず

27 普通のログイン hoge login: admin Password:******* hoge:~> __

28 一方

29 リモートログイン hoge login: admin Password:******* hoge:~> __

30 ネットワーク越しに世界中どこからでも

31 コンピュータを直接操作可能

32 ソフトウェアのインストールだって、 再起動(非推奨)だって出来ちゃう

33 世界をまたにかけなくても

34 身近にリモートログイン Office Cafe? Server Home Airport?

35 皆さんの場合 Research Space Saloon 2F Server Room This room Mail 1F WWW
Normal User Server Room This room Mail 1F WWW

36 専攻サーバでは一般ユーザもログインでき、いろんな作業が可能

37 実際にリモートログインするには?

38 UNIX系 OS (Linux, Mac) の場合 telnet, sshなどのコマンド

39 Windows の場合 Putty, TeraTermなどのソフトウェア

40 これらはログインする先のマシンがUNIX系 (Linux, Mac)の場合

41 Windows にも、「リモートデスクトップ」というGUIなリモートログイン環境もあるらしい

42 まとめ 其の壱

43 リモートログインすげー便利 すっげー (；゜A ゜)

44 But

45 もしその情報を誰かがかってに覗いてるとしたら…？

46 というわけで

47 2

48 盗聴

49 【盗聴】 他人の会話を（機器などを用いて）気づかれないように聞くこと。ぬすみぎき。

50 ネットワーク用語(?)的には

51 自分宛で無い通信中のデータを不正に取得すること(?)

52 原理的には結構簡単

53 なぜなら

54 (基本的には)データは生で様々なコンピュータを中継するため

55 データの盗聴 Get Send Mail Smtp Server Cracker If this computer
is already hacked…?

56 リモートログインとて同じこと

57 パスワードの盗聴 Send Get Username, Username, Password Password
If this computer is already hacked…? hoge login: admin Password:******* hoge:~> __

58 パスワードを盗聴されると？

59 データの破壊

60 意図しないシステムの変更

61 自分が困るだけでなく

62 自分のコンピュータが踏み台に

63 ウィルス、ワームをばら撒いたり、盗聴用として使われたり

64 相手が悪いと訴訟や賠償にも

65 一見「盗聴」には凄いテクノロジが要りそうだが

66 実は (悲しいかな) 結構簡単

67 ちょっと勉強してそこらへんのツールを使えばなんとかなってしまう

68 まとめ 其の弐

69 パスワードが盗聴されるとキケン

70 ではどうするか？

71 3

72 SSH (Secure Shell)

73 盗聴を防ぐための手法の一つが

74 データの暗号化

75 暗号化・復号化 ? ? ! Send data Can’t decode Encoded Decoded If this computer
is already hacked…? Decoded

76 通信するデータを第三者は見ることが出来ない

77 リモートログインの際に暗号化通信を可能にするのが

78 SSH (Secure Shell) (くどい? （゜∀ ゜ ;）)

79 Unix 系 OS ならば ssh コマンド。 Windows ならPutty や TTSSHを使う

80 Telnet コマンドや TeraTerm は暗号化通信しないので注意

81 まとめ 其の参

82 リモートログインにはsshを使うべし

83 4

84 暗号化技術

85 SSHでは如何にして通信を暗号化しているのか?

86 「鍵」 の概念

87 共通鍵暗号方式 Same “Common Key” ! ? Encoded Decoded

88 公開鍵暗号方式 Pair Keys ? ! ? ! Private key Public key Encoded Decoded

89 公開鍵と秘密鍵は一対一対応するペアの鍵

90 秘密鍵で暗号化したデータは公開鍵で復号化 (秘密鍵での復号化は不可)

91 公開鍵で暗号化したデータは秘密鍵で復号化 (公開鍵での復号化は不可)

92 暗号化通信には送受信する双方の「鍵」の保有が不可欠

93 実際には、一方が他方に鍵を「配布」する

94 共通鍵の配布 Common key If common key is got by the others…?

95 Data is decoded by the others!!!
共通鍵の難点 ! ? Data is decoded by the others!!! !

96 共通鍵はその配布の段階での通信暗号化が必須

97 公開鍵の配布 Private key Public key Even if public key is got by the others…

98 Data can not be decoded by public key!!
公開鍵による暗号化 ? ! Data can not be decoded by public key!! ? Decoded by private key

99 データを特定の相手だけが復号化可能のなのは、「公開鍵による暗号化 & 秘密鍵による符号化」

100 安全な双方向通信 S P Pair Keys ! ? Secure connection ! ? P S Pair Keys

101 公開鍵方式ならば配布も容易で安全な通信が可能

102 しかし

103 公開鍵暗号化システムの重大な欠点

104 暗号化・復号化の処理速度

105 共通鍵暗号方式の数百～数千倍 (らしい)

106 そこで SSH では

107 共通鍵配布のための安全なコネクションを公開鍵暗号方式で確立し

108 その後は共通鍵暗号方式での通信を行う

109 コネクション開始 Connection is started Server Client

110 (Generated by random seed each time)
公開鍵(2対)の配布 Host keys (Already generated) Send public keys S P Server keys (Generated by random seed each time) P S P P

111 ホスト公開鍵保存 Host public key is stored S Server public key is temporary P

112 Common key is generated by random seed
共通鍵生成・配布 Encoded by 2 public keys P S P P ? Common key is generated by random seed P S C

113 Decoded by 2 private keys
共通鍵の共有 S S C P P ! ? Decoded by 2 private keys C

114 暗号化双方向高速通信 Common Keys C C ! ? Secure connection ! ?

115 この後ユーザ認証を経て実際のコネクションを開始

116 ユーザ認証にはパスワード認証以外にも

117 公開鍵暗号化システムを利用した「RSA認証」もあります (割愛)

118 ホスト鍵とサーバ鍵の２つがありましたが、

119 サーバ鍵は共通鍵と共に通信中に定期的に更新され、通信の安全性を高める

120 一方、ホスト鍵は「なりすまし」を防御

121 なりすまし Fake server Send Password True server Password is misread
This router is already hacked True server

122 ホスト公開鍵照合 Already stored true host public key S
Sent fake host public key

123 偽サーバ検知 !!!! The server may be fake!!! S P P ≠ P

124 ただし

125 Putty などでは「あぶないよ」というメッセージを英語で表示するだけなので

126 うっかりスルーしがちなので注意!!!

127 接続の際にメッセージが出たらちゃんと読みましょう

128 ちょっと注意

129 共通鍵・公開鍵暗号化方式はSSHのサブセットではなく

130 SSHが共通鍵・公開鍵暗号方式を利用している

131 Web アクセス時の暗号化 (クレジットカードとか) にもこれらの暗号化方式は使われる

132 最後に

133 大事なのは

134 自分が今、どのホストにいて、どんな通信をしているかを気にかけること

135 もちろん パスワードも大事

136 まあ何は ともあれ

137 便利なリモートアクセスをどんどん活用しましょう !!!

138 ご清聴 ありがとう ございました

139 参考文献

140 URL SEのIT系就職/転職/スキルアップサイト – StackAsterisk - OpenSSHで暗号化通信
＠IT > セキュリティ用語事典 > 共通鍵暗号方式 ＠IT > セキュリティ用語事典 > 公開鍵暗号方式 Rat Portal Site - Linux リテラシ - 第6回 SSH おこめ的 技術総合資料館 しししせねっと – SSHの基礎知識 高橋メソッドについて ASCII24 – デジタル用語辞典 IT用語辞典

141 文献 Craig Hunt, 村井 純, 1998: TCP/IPネットワーク管理 第2版. オライリー・ジャパン, 612pp.
山口 英, 鈴木 裕信, 2000: bit 別冊 情報セキュリティ. 共立出版, 352pp. 技術評論社第2編集部, 2001: ファイアウォール＆ネットワーク セキュリティ実戦テクニック. 技術評論者, 405pp. 技術評論者, 1999: Software Design 1999年 5 月号, 207pp. SOFT BANK, 2000: UNIX USER 2000年 9 月号, 160pp.