第7回 - ultra.leh.kagoshima

Download Report

Transcript 第7回 - ultra.leh.kagoshima

インターネットとセキュリティ
鹿児島大学法文学部経済情報学科
下園幸一
[email protected]
参考文献
佐々木良一:『インターネットセキュリティ入
門』,岩波新書, 1999年3月
なぜセキュリティ(安全性)が
問題となるのか?
匿名性

ユーザ名とパスワードのみで識別
不特定多数性

全世界の人と通信できる。見知らぬ人同士の通信
時間的・地理的な無制限性

遠隔地で瞬時に情報交換
場所の不要性

どこでも
無痕跡性

記録を完全に消すことができる
Global & Open なインターネット
アクセス対象者の広がり
ソフトウェアのオープン化
ネットワーク管理主体の多様性
お金を扱うインターネットの利用
インターネットと企業情報システムとの結合
医療
第3者からの
セキュリティの確保の条件
機密性(Confidentiality)

見てほしくない人に見られない
完全性(Integrity)

破壊(改変)されない
可用性(Availability)

いつでも利用できる
破られる場合
機密性

傍受、HDの読み出し、画面の盗み見
完全性

改ざん、破壊(ネットワーク、HD)
可用性

DoS、不当な利用
具体例
預金改ざんによる不正送金

1995年:米国銀行 1,200万ドル
医療データ改ざんによる殺人事件

1995年:豪 薬の投与量の改ざん
メール爆弾

システムダウン、
悪意の攻撃者
クラッカーなどの愉快犯
犯罪者
テロリスト
企業スパイ、外国のスパイ
不正アクセスとセキュリティイン
シデント
不正アクセス行為の禁止等に関する法律

平成12年2月13日施行
セキュリティ・インシデンス



不正アクセスの定義には「可用性」に関する取
り締まりはできない
実際不正アクセスがないと取り締まれない
ネットワーク上で発生したセキュリティに関す
る事全般
セキュリティインシデントの報告
状況
CERT/CC (Computer Emergency
Response Team/Coordition Center)
JPCERT/CC
FIRST(Forum of Incident Response and
Security Teams)
IPA
日本の届出件数(JPCERT)
報告例
WWWサーバのパスワードが盗まれる
メールの不正中継によるメール爆弾
セキュリティ上の弱点探索
報告全体の8割以上が以前から知られて
いる手口
セキュリティ対策の分類
第3者からの脅威
 機密性の喪失
 完全性の喪失
 可用性の喪失
取引相手からの脅威
 証拠性の喪失
 不正コピー
直接的対策
アクセス管理・暗号化
 アクセス管理・暗号化
 アクセス管理

デジタル署名
 プロテクト

セキュリティ対策の分類
第3者からの脅威
 機密性の喪失
 完全性の喪失
 可用性の喪失
取引相手からの脅威
 証拠性の喪失
 不正コピー
間接的的対策
ワクチン・監視
 ワクチン・監視
 ワクチン・監視


電子透かし
アクセス管理(Access Control)
の基本
ユーザ認証(User Authentication)


本人が本人であることを確認するための技術
本人確認技術
アクセス制御(Access Control)

それぞれのユーザが許可された権利以上の
アクセスを防止するための技術
ユーザ認証技術
本人の知識を利用するもの

暗証番号、パスワードなど
本人の持ち物を利用するもの

磁気カード、ICカード
本人の身体的特徴を利用するもの

指紋、声紋、網膜パターン、筆跡、DNA
コスト: 知識<持ち物<特徴
安全性: 知識<持ち物<特徴
パスワードについて
「パスワード=歯ブラシ」



毎日使用する
定期的に交換
他人には絶対貸さない
より堅固なユーザ認証
複数の認証技術を組み合わせる


パスワード+磁気カード
ICカード+指紋
リモートユーザ認証
パスワードの盗み見
リプレイアタック
パスワードの入力
インターネット
リモートユーザ認証
OTP(One Time Password)


毎回違うデータを送る
パスワード+時刻情報等
アクセス制御
ネットワークの入り口でブロック
コンピュータの入り口でブロック
ファイルの入り口でブロック
The Internet
FireWall
ファイル
アクセス
の制御
FireWall(防火壁)
ファイアウォール
•不正侵入の防止
•情報流出入経路
の絞り込み
アクセス制御、認証、監視、暗号化
典型的な構築例
The Internet
Mail
External
DMZ(DeMilitarized Zone)
非武装地帯
Internal
router
router
Web
暗号(Cryptography)
コード(Code)


語や句毎に他のもので置き換える
「ニイタカヤマノボレ1208」
サイファー(Cipher)

文字ごとに他のものに置き換える
IBM
暗号化
HAL
字をn文字ずらす暗号=シーザー暗号
アルゴリズムと鍵
アルゴリズム(Algorithm)

字をn文字ずらす
鍵

n=-1
鍵が2であれば
鍵が4であれば
IBM → KDO
IBM → MFQ
通信路暗号
受信者
送信者
平文
通信路
暗号化
アルゴ
リズム
暗号文
鍵(n=-1)
不正入手
暗号化
アルゴ
リズム
鍵(n=-1)
平文
暗号アルゴリズムの分類
軍隊など

アルゴリズム=秘密、鍵=秘密
ビジネスの世界

アルゴリズム=公開、鍵=秘密
アルゴリズム公開型
 共通鍵暗号(Common Key Cipher)
 公開鍵暗号(Public Key Chipher)
共通鍵暗号
暗号化と複合化で(だいたい)同じ鍵を使う
大昔からある(シーザー暗号)
DES(Data Encryption Standard)

IBMが開発、1977年米国政府公式認可
NTTのFEAL、日立のMULTI
相手にどうやって鍵を送るか?
公開鍵暗号
1977年 Differ, Hellmanにより考え方が示さ
れる
対になる2種類の鍵を用いる
片方をみんなに教える(公開鍵)
もう片方は自分で秘密にしておく(秘密鍵)
片方の鍵でかけた暗号はもう片方でしか平
文に直せない
公開鍵暗号
秘
A
公
A
公
A
Aさん
平文
暗号文
暗号文
平文
公開鍵暗号
片方の鍵からもう片方の鍵は推測できな
い
RSA(リヴェスト,シャーミア,エイドルマン)

数百桁の素因数分解の難しさ
楕円曲線暗号
処理速度がとても遅い(共通鍵方式の数
千倍)
暗号の強度(暗号の解読方法)
暗号文攻撃

暗号文を得る→平文を推測
機知平文攻撃

平文と暗号文の組を得る→鍵を推測
選択平文攻撃

解読者任意の平文と暗号文の組を得る→鍵
を推測
共通鍵暗号の解読
鍵の総当たり法


暗号文と平文の組みを得る
全ての鍵で暗号文を複合してみる
共通鍵方式RC5解読(解読者10,000ドル)



約7京2000兆通りの鍵
インターネットを利用し数万台のコンピュータ
利用
209日で解読(鍵空間全体の47%で発見)
公開鍵暗号(RSA)の解読
公開鍵から秘密鍵が推測できるとアウト


1994年 RSA129
1,600台のコンピュータで8ヶ月
鍵の長さを長くすればぁ?


鍵長が2倍になると計算時間が6~8倍になる
楕円曲線暗号に期待(RSAより短い鍵で大丈
夫)
暗号化対策
どこで暗号化するのか?


アプリケーション(PGP S/MIME)
通信機能全て(SSL、IPsec)
ハードウェアでやるのかソフトウェアでやる
のか?

SkyPerfectTV
鍵をどうやって管理するのか?

鍵サーバ