Transcript net-13
セキュリティ対策 ネットワークシステム 第13回 ネットワークを脅かすもの(脅威) 多種多様 新たな脅威も 対策方法もいろいろ すべてを取り上げることは不可能 盗聴対策などの基礎としての暗号 不正アクセス対策の基本であるアクセス制限 “ネットワーク”の話ではない 参照サイト PKI 関連技術情報 http://www.ipa.go.jp/security/pki/index.html リモートアクセス環境におけるセキュリティ http://www.ipa.go.jp/security/awareness/administrator/ remote/index.html “5分で絶対に分かるファイアウォール” http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fi vemin00.html 暗号の歴史 http://www.mitsubishielectric.co.jp/security/learn/inf o/misty/ 暗 号 “情報社会と情報倫理” で取り上げた 注 意 第11回のスライド インターネットで従来から使われていたプロトコ ルでは データはそのまま(平文で)転送される ものがほとんどである つまり,盗聴されると筒抜けになる 現在は,データを暗号化するものがある 用語の確認 元のメッセージを平文(ひらぶん) 暗号化したメッセージを暗号文 暗号文を平文に戻すことを復号 復号化と言わないことはない 第三者が(盗聴した)暗号文を平文に戻すこと は解読 暗号の方式 共通鍵暗号 公開鍵暗号 共通鍵暗号 古典的な暗号 共 通 鍵 暗 号 (1) 例 シーザ暗号 3文字後にずらすことにより,暗号化 NETWORK → QHWZRUN 3文字前にずらすことにより,復号 共 通 鍵 暗 号 (2) 暗号化も復号も,3文字ずらす この3を暗号の鍵と呼ぶ 3でなくても,かまわない 暗号化と復号で同じ鍵を使う暗号を共通鍵暗号 同じ鍵 共通鍵暗号の問題点 相手ごとに鍵を用意する 多数の鍵の管理 どうやって相手に鍵を渡すか 公開鍵暗号 1970年代以降 公 開 鍵 暗 号 (1) 暗号化の鍵(key1とする)と復号の鍵(key2とす る)が異なる key1で暗号化した暗号文は, key2で復号できる(key1では復号できない) この他の条件 key2で復号できるものは, key1でしか暗号化できない key1からkey2を簡単に割り出せない 重要なポイント 公開鍵暗 号 (2) 暗号化と復号で, 別の鍵を使う key1では 復号不可 公 開 鍵 暗 号 (3) A 暗号メッセージの受け手 B 暗号メッセージの送り手 A(受け手)が, 鍵のペアーkey1とkey2を用意し, 暗号化用の鍵 key1 をBに伝える (復号用の鍵 key2 は手元に保管) 公 開 鍵 暗 号 (4) B が A に暗号化メッセージを送信 key1とkey2は,Aが用意する 暗号化用鍵 key1 をBに渡す 公 開 鍵 暗 号 (5) Aに暗号化メッセージを送りたい人は誰でも,key1 により暗号化すればよい つまり,key1は秘密にする必要はない ただし,key2はAだけの秘密にしなければならな い CでもDでも誰でも 公 開 鍵 暗 号 (6) Aに暗号化メッセージを送りたい人は誰でも,key1 により暗号化すればよい つまり,key1は秘密にする必要はない ただし,key2はAだけの秘密にしなければならな い key1をAの公開鍵(暗号鍵) key2をAの秘密鍵(復号鍵,個人鍵) 公 開 鍵 暗 号 (7) つまり, B は A の公開鍵を使って暗号化し, A は A(自分)の秘密鍵を使って復号する デ ィ ジ タ ル 署 名(1) 誰が用意した文書か? ディジタル文書での署名(サイン) デ ィ ジ タ ル 署 名(2) 公開鍵暗号の応用 RSAという公開鍵暗号では, 秘密鍵で暗号化した暗号文は,対応する公開 鍵で復号できる 通常は,公開鍵で暗号化,秘密鍵で復号 ここではRSAを用いるものとする A(だけ)が保管している デ ィ ジ タ ル 署 名(3) Aからメッセージが届いた Aの秘密鍵で暗号化したもの であることは分かる Aからのメッセージであることを,どうやって確 認するか?! それは,Aの公開鍵で復号できた(内容が分かる メッセージになった) メッセージの送り主はA Aの署名があるようなもの 公開鍵で復号できるので,秘密保持は不可 Bさんは, 間違いなくAさんからのメッセージであることが分かる さらに,メッセージが改ざんされていないことも分かる デ ィ ジ タ ル 署 名(4) 正しくは, これが 署名 http://www.ipa.go.jp/security/pki/024.html 公開鍵暗号 公開鍵暗号では 暗号化による秘密保持 ディジタル署名による相手やメッセージが改ざ んされていないことの確認 RSA以外の公開鍵暗号でも可能 公開鍵暗号の問題点 公開鍵を入手方法 認証局の証明書(詳細略) 処理時間がかかる アクセス制限 例えば あるネットワークにwebサーバがない そのネットワークに,ポート80でアクセスされるこ とはない ポート80でアクセスされたら,それは不正アクセ スの疑い ポート80宛のパケットは破棄 不正アクセスと思われるもの インターネットの現実 ファイアウォール(1) fire wall 防火壁 外部との境界に置き,外部からの不正アクセス を防ぐ 不正アクセス ファイアウォール(2) 外から内への制限だけでなく,内から外への制 限を課す場合もある なぜ? ファイアウォール(3) 通過させるパケットの指定と通過させないパケッ トの指定 ここでは, すべてのパケットの通過させない 例外的に通過させるパケットを指定 通過させたパケット(通信)の応答のパケット は通過させる(特に指定しなくても) ファイアウォール(4) 通過させるパケットの 送信元のIPアドレス 送信元のポート番号 送信先のIPアドレス 送信先のポート番号 を指定する ただし,“*”はすべてを意味する 例 IPアドレスが“*”の場合は,インター ネット全体を意味する ファイアウォールの例(1) ホスト1はポート番号23で,ホスト3の任意のポー ト番号からのアクセスを受け付ける ホスト2は,ホスト3からのアクセスを受けつけな い 通過させるパケットの指定 “192.168.20.1”の任意のポートから “192.168.10.1”のポート番号23への パケットは通過OK ファイアウォールの例(2) ファイアウォールの設定 (すべてのパケットの通過を禁止) “192.168.20.1”,“*”,“192.168.10.1”,“23” ポート番 号23 ファイアウォールの例(3) インターネットから,公開webサーバへのアクセス は可 インターネットから,内部用webサーバへのアク セスは不可 送信元のIPアドレスが任意 → インターネット全部 送信元のポート番号が任意 → 制限なし ファイアウォールの例(4) (すべてのパケットの通過禁止) “*”,“*”,“192.168.10.5”,“80” ファイアウォールの例(5) 実際のネットワークは,もっと複雑 インターネットから・への アクセス可能 (DMZ) 組織内ネット ワーク インターネットから のアクセス不可 ファイアウォール(5) 以上,簡単なファイアウォールの例 パケットフィルタリング ルータの設定で可能 パケットの内容までみて判断するようなものも ある 専用のハードウェア,ソフトウェア ま と め 暗 号(1) 暗号をつかったアプリケーション 暗号の応用 と言ったことも重要 暗 号(2) 共通鍵暗号 問題点 公開鍵暗号 公開鍵と秘密鍵 暗号化・ディジタル署名 問題点 ファイアウォール パケットフィルタリング