先日投稿したこちらの記事の続編です。
https://qiita.com/sasshi_i/items/f6057f70e9aea80e4662
本日はネットワーク盗聴への対策についてまとめていきます。
教材
教材はIPAが出している安全なウェブサイトの作り方を使っています。
https://www.ipa.go.jp/security/vuln/websecurity.html
ネットワーク盗聴について
ネットワーク盗聴はウェブサイトと利用者との経路上で行われるため、この行為自体をウェブサイト側 の運用や設定のみで防ぐことは困難です。しかし、通信経路を暗号化すれば、盗聴を受けても重要情報 が不正に取得されることを防止できます
引用:
https://www.ipa.go.jp/security/vuln/websecurity.html
安全なウェブサイトの作り方 改訂第7版から引用
対策
通信経路を暗号化する
SSL/TLSを用いたHTTPS通信を行うことで盗聴されても盗聴者には内容を理解することができません。
SSL/TLSの仕組み
こちらのサイトにまとまっていたのでこちらをご参照ください。
https://eset-info.canon-its.jp/malware_info/special/detail/200903.html
利用者に重要情報を通知する際はメールで送らず暗号化されたhttps://のページで表示する
メールを暗号化する方法としてS/MIME, PGP等の技術があるが、利用者側に暗号化環境や秘密鍵が必要となるので、現実的な方法ではない。
そのため、暗号化されたページで重要情報を表示する。
S/MIMEとは?
電子メールのセキュリティを向上する暗号化方式のひとつで、電子証明書を用いてメールの暗号化とメールへ電子署名を行うことができます。 S/MIMEの方式を用いるには、送信者と受信者側との両方がS/MIMEに対応する電子メールソフトを使用している必要がありますが、Microsoft社のOutlookやiPhone・iPadのメールソフトなど多くのメールソフトが対応しています。
引用: https://jp.globalsign.com/service/clientcert/about_smime.html
S/MIMEの主な役割
S/MIMEの主な役割は、『メールの暗号化』で盗聴防止と『メールへの電子署名』です。
引用: https://jp.globalsign.com/service/clientcert/about_smime.html
暗号化の仕組み
https://jp.globalsign.com/service/clientcert/about_smime.html
S/MIMEによるメールの暗号化の仕組みを参照
電子署名の仕組み
https://jp.globalsign.com/service/clientcert/about_smime.html
メールへの電子署名の仕組みを参照
PGPとは?
暗号化、電子署名の流れはS/MIMEと変わらない。
異なるのは公開鍵の保証方法である。
公開鍵の保証とは?
Aさんが配布した公開鍵がAさんが配布したものであると保証すること
その保証する基盤を公開鍵暗号基盤(PKI)という。
例として公開鍵に認証局が発行した証明書を付与することでAさんが発行した公開鍵であると証明する。
わかりやすい図が下記に書いてあったので参考にしてください。
https://wa3.i-3-i.info/word15515.html
S/MIMEとPGPの公開鍵の保証の違い
S/MIME
認証局が発行した証明書で公開鍵を保証
PGP
Web of Trust (信頼の輪)という考え方に基づいて公開鍵の所有者を信頼できる人に保証してもらう方法。
信頼できるXさんが署名している公開鍵なら大丈夫だという感じで保証。
こちらのIPAの資料がわかりやすかったので参考にしてください。
https://www.ipa.go.jp/security/pki/031.html
ちなみにキーサインパーティーっていうのもあるらしい。
https://ja.wikipedia.org/wiki/%E5%85%AC%E9%96%8B%E9%8D%B5%E5%9F%BA%E7%9B%A4#%E4%BF%A1%E7%94%A8%E3%81%AE%E8%BC%AA%EF%BC%88Web_of_Trust%EF%BC%89
参考:
https://milestone-of-se.nesuke.com/sv-advanced/digicert/openpgp-smime-tls/
ウェブサイト運営者がメールで受け取る重要情報は暗号化する
S/MIMEやPGPを用いてメールを暗号化する