はじめに
ネットワーク上にあるデータがどのようにやり取りされているかを、
セキュリティの観点から理解する。
内容は以下である。
・データ暗号化方式
・電子署名
・電子証明書
・セキュアプロトコル
・ファイアウォール
・無線LANセキュリティ
・VPN
データの暗号化
データの暗号化には、鍵を使用する。
その種類や扱い方によって3つの方式に分類される。
鍵とは?:
データを暗号/復号する際に使用するもの。
実体は、8や16バイトなどのバイナリデータ。
1.共通鍵暗号方式
共通鍵1つで、暗号化と復号化を行う。
受信者と送信者ともに共通鍵を持っている必要がある。
2.公開鍵暗号方式
秘密鍵と公開鍵の2つを使用する。
暗号化を公開鍵で行い、復号は秘密鍵で行う。
仕組み
受信者が2つの鍵を持っていて、そのうちの公開鍵を送信者に渡す。
送信者は、その鍵でデータを暗号化して送信する。
受信者は、自身の秘密鍵で復号化する。
3.ハイブリッド暗号方式
公開鍵暗号方式で共通鍵を受け渡し、
それから共通鍵暗号方式で通信を行う。
SSL/TLSやSSH、S/MIMEなどで採用されている。
電子署名
元データをハッシュ化してメッセージダイジェストを作成し、
秘密鍵で暗号化したもの。
電子署名は、秘密鍵で暗号化し公開鍵で復号化する。
ハッシュ化とは?:
特殊なアルゴリズムでデータを要約すること。
特徴は、元データが同じでなければ同じ結果にならないことや、
元データに戻せないなど。
使用方法
元データをハッシュ化してメッセージダイジェストにしたものと、
電子署名を公開鍵で復号化したメッセージダイジェストを比較することで、
データが改ざんされていないことが証明される。
電子証明書
公開鍵が誰のものであるか証明するためのもの。
認証局が発行する。
内容は、公開鍵や所有者情報、認証局の電子署名など。
認証局の電子署名:
認証局に申請する時に渡した鍵や所有者情報、認証局情報などをハッシュ化して
電子署名にしたもの。
セキュアプロトコル
セキュリティ機能を備えたプロトコル。
SSL/TLS
サーバとクライアント間の通信セキュリティを高めるプロトコル。
サーバ証明書(電子証明書)を利用する。
ハイブリッド暗号方式が採用されている。
SSL/TLSは、他のプロトコルと組み合わせて活用されている。
例えば、HTTPSやFTPS、POP over SSL、SMTPSなど。
SSH
Telnetのセキュリティを高めたプロトコル。
ハイブリッド暗号方式が採用されている。
電子証明書は使用しない。
ファイアウォール
許可されたパケット以外を遮断する技術。
パケット内のどの情報を検査対象にするかによって、3種類に分類される。
1. パケットフィルタリング型
パケットのIPヘッダー内のIPアドレスで制御する。
つまり、インターネット層のヘッダーを確認する。
2. サーキットレベルゲートウェイ型
IPアドレスに加えてポート番号で制御する。
つまり、トランスポート層のヘッダーを確認する。
TCPの場合、3ウェイハンドシェイクのsynパケットを検査する。
UDPの場合、ヘッダーを確認する。
3. アプリケーションゲートウェイ型
プロトコルやURL、テキストで制御する。
つまり、アプリケーション層のヘッダーを確認する。
無線LANセキュリティ
データの暗号化には、速度も重視されるため
共通鍵暗号方式が採用されている。
共通鍵は、パスフレーズと初期化ベクトルを組み合わせて作成する。
パスフレーズとは、ユーザ指定の文字列。
初期化ベクトルとは、一定時間ごとに変化する数値。
仕組み
ストリームとブロック暗号方式がある。
・ストリーム暗号方式
1ビットあるいは、1バイト単位で暗号/復号化していく。
ブロック暗号方式
64ビット単位で暗号/復号化していく。
VPN
物理的な専用回線を用いずに、
公衆回線を仮想的に独立した専用回線のように使用する仕組みのこと。
データの暗号化と回線のトンネリング技術により、
特定の区間全ての通信を秘匿する。
トンネリングとは:
あるプロトコルのパケットを別のプロトコルのヘッダーとトレーラを付け包む
カプセル化技術を用いて、仮想的な通信経路を構築すること。
例えば、IPv4とIPv6間で通信するとき、
本来なら異なるプロトコル間なので通信できない。
そこで、IPv6パケットをIPv4で包むカプセル化によって通信可能になる。
つまり、トンネリングとは異なるプロトコル間の通信経路を構築している。