公開鍵暗号方式
- 2つの鍵を使う暗号方式、片方で暗号化したものは、もう片方でしか復号できない
- 公開鍵(Public Key):みんなに公開してよい鍵
- 秘密鍵(Private Key):持ち主だけが持つ鍵(絶対に漏らしてはダメ)
- 高速、大量データ向け
- RSA:公開鍵暗号方式の暗号技術
① 暗号化(データ秘匿)
- 送信者は、受信者の公開鍵で暗号化
- 復号できるのは 受信者だけ(秘密鍵を持っている)
- あなたの公開鍵を相手に渡す
- 相手が公開鍵で暗号化
- あなただけが秘密鍵で復号できる
② 電子署名(なりすまし防止・改ざん検出)
- 送信者が秘密鍵で署名(暗号処理)
- 公開鍵で検証可能(受信者側)
- あなたが秘密鍵で署名
- 誰でもあなたの公開鍵で検証できる
- 改ざんされていれば検証に失敗する
③HTTPS(SSL/TLS)での使われ方
- サーバーは公開鍵を証明書として配布
- ブラウザは公開鍵で共通鍵を暗号化してサーバーに送る
- サーバーは秘密鍵で復号
- 以降は高速な共通鍵暗号で通信
実際は「公開鍵暗号+秘密鍵暗号のハイブリッド」方式。
PKI
- 公開鍵基盤、確実に本人の公開鍵であることを証明する仕組み
- 認証局(CA):PKIにおいて、デジタル証明書・CRLを発行する期間
- CRL:失効したデジタル証明書のシリアル番号と失効日の一覧
共通鍵暗号化方式
- 同じ鍵で暗号化・復号を行う
- AES:共通鍵暗号方式の暗号技術
楕円曲線暗号
- 公開鍵暗号方式の一種
- RSA暗号に比べ鍵長が短い、かつ処理が速い
メッセージ認証符号(MAC)
- 共通鍵暗号方式
- 通信データの改ざんなしを確かめるための作る暗号データ
ハイブリッド暗号
- 公開鍵暗号方式と共通鍵暗号方式の組み合わせ
リスクベース認証(RBA)
- ユーザのログイン状況を分析し、リスクが高い場合に追加の認証を行う仕組み
- 普段と違うログイン行動があったときに
「これは本人か?」をチェックするための仕組み
どんな情報を使って“リスク判定”する?
- IPアドレス(普段と違う国/地域からのアクセス)
- 端末情報(普段と違う端末)
- ブラウザ情報
- アクセス時刻(深夜など不自然な時間)
- アクセス元の安全性(Tor/プロキシなど)
- ログイン試行回数
- ユーザの行動パターン(急激な異常操作)
これらを組み合わせて、
リスクが高いと判定したら追加の認証を要求
リスクレベルに応じてどう変わる?
| リスクレベル | 動き |
|---|---|
| 低 | 通常のID+パスワードでログイン成功 |
| 中 | ワンタイムパスワード(OTP)要求、SMS認証 |
| 高 | ログインブロック、本人確認メール送信、追加質問 |
| 極高 | アカウント一時ロック、管理者に通知 |
RBA のメリット
- 不正ログインを高精度に防ぐ
- 利用者は日常利用では追加認証が不要 → 利便性が高い
- 多要素認証(MFA)と組み合わせてセキュリティ強化が可能
ビヘイビア法
- 利用者の行動特性で本人確認を行う認証方式
ステガノグラフィ
- 情報が存在すること自体を隠す技術
- 画像・音声・動画などのデータに別の情報を気づかれないように埋め込む
XML署名
- XML文書の「特定の要素だけ」に署名できる
- 公開鍵暗号を使用