Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

#qpstudy 2015.11 20分でわかるPKI

8.749 visualizaciones

Publicado el

#qpstudy 2015.11 20分でわかるPKI

Publicado en: Tecnología
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download Full EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... Download doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Responder 
    ¿Estás seguro?    No
    Tu mensaje aparecerá aquí

#qpstudy 2015.11 20分でわかるPKI

  1. 1. 20分でわかるPKI Public Key Infrastructure #qpstudy 2015.11 Aki@nekoruri
  2. 2. 20分でわかったつもりになるPKI Public Key Infrastructure #qpstudy 2015.11 Aki@nekoruri 前座2
  3. 3. アンケート • PKI • 公開鍵証明書 • SSL証明書 • 公開鍵暗号 • SSHの公開鍵認証 会場では、公開鍵暗号自体はそれなりに 理解をしているという人が多いようでした。
  4. 4. 公開鍵暗号 • 鍵配送問題を解決する発明(1970年代) • PKI(公開鍵基盤)の根拠 • 二つの鍵を分離 • 暗号化用の鍵 ⇒ 公開鍵を公開 • 復号用の鍵 ⇒ プライベート鍵を秘匿 • 主な用途 • 暗号化 • デジタル署名 • 鍵交換 「Private key」の訳語はたくさんあります が、今回は『暗号技術入門』の「プライベー ト鍵」に揃えました。
  5. 5. 鍵配送問題 共通鍵暗号 公開鍵暗号 アリス ボブ 暗号文 共通鍵 アリス ボブ 暗号文 公開鍵 プライベート鍵 別の手段で秘匿しなくはいけない 秘匿の必要はない=公開鍵 平文 平文 共通鍵 秘匿の必要性がなくなり、別の手段が無くて も安全に通信ができるようになりました。
  6. 6. デジタル署名 • 公開鍵暗号を「逆向き」に利用 • 「公開鍵」で復号できたら正しい相手 アリス ボブ デジタル署名 公開鍵 プライベート鍵 平文平文 公開鍵 「逆向き」が提供されない、デジタル署名に 利用できない公開鍵暗号アルゴリズムもあり ます。
  7. 7. 鍵配送問題 その2 「公開鍵暗号なら安全」と言ったな。 あれは嘘だ。 アリス ボブ 暗号文 公開鍵 プライベート鍵 秘匿の必要はない=公開鍵 平文
  8. 8. 鍵配送問題 その2 • 公開鍵を配送するときの man-in-the-middle攻撃 (MITM・中間者攻撃) に弱い • 公開鍵の「真正性」 がだいじ アリス ボブ 公開鍵 プライベート鍵 平文 マロリー偽公開鍵 暗号文 プライベート鍵 貴方のもつ「公開鍵」は、 本当に正しいものですか?
  9. 9. 鍵配送問題 その2 • 公開鍵が信頼できないなら デジタル署名も無力 アリス ボブ 公開鍵 プライベート鍵 平文 マロリー偽公開鍵 プライベート鍵 平文 デジタル署名 「隠さなければならない」という要件が無 くなっただけで、依然として「安全に鍵を相 手に送る」という要件は残っています。
  10. 10. 「何も信頼できない状態から 信頼を作り出す技術は まだ生み出されていません」 結城 浩『暗号技術入門 第3版』 (SBクリエイティブ、2015年) 276ページ ネットワークにおける「信頼」の本質です。
  11. 11. PKI • 公開鍵暗号をうまく使うための枠組み • PGPとSSHを除く世の中のほぼ全てがこの上に乗っかっている • 覚えて帰るべきポイント • 公開鍵証明書 • 階層化された認証局(CA) • トラストアンカー 「PKI」とは枠組みそのものであり、細かい 仕様などの総称でもあります。
  12. 12. 公開鍵証明書 • 公開鍵に第三者がデジタル署名 • ボブとクリスのどちらかの 公開鍵があれば 良い アリス ボブ デジタル署名 公開鍵 プライベート鍵 平文平文 クリス公開鍵 クリス公開鍵 証明書 クリスのデジタル署名 ボブ公開鍵 まず「信頼」を作り出す枠組みを用意します。
  13. 13. 階層化された認証局(CA) • 公開鍵証明書にデジタル署名する「信頼できる第三者」 • 一番上の認証局の公開鍵さえ安全に配布できれば、 その「下」にぶら下がる公開鍵証明書の安全を担保できる! ボブ 公開鍵 クリス 公開鍵 証明書 ドロシー 公開鍵 証明書 公開鍵 公開鍵 いわゆる 「ルート証明書」 公開鍵 証明書 次に「信頼を連鎖」させる枠組みを作り、 「信頼する相手」の数を最低限に絞ります。 これが「CA」です。
  14. 14. 実際のCA階層化の例 信頼されたジオトラストの 公開鍵証明書 ジオトラストから信頼された Googleの公開鍵証明書 個別の公開鍵証明書 Googleさん自前でCA持ってたんですね……。 https://pki.google.com/
  15. 15. トラストアンカー • 「信頼の起点」 • いわゆる「信頼されたルート証明書」
  16. 16. 「何も信頼できない状態から 信頼を作り出す技術は まだ生み出されていません」 結城 浩『暗号技術入門 第3版』 (SBクリエイティブ、2015年) 276ページ
  17. 17. トラストアンカー • 「信頼の起点」 • いわゆる「信頼されたルート証明書」 • ここが侵されたら何をされてもおかしくない • 不正なサーバへの接続 • 不正なバイナリの実行 PKIとは、要するに「トラストアンカー」を 基準に世の中の様々なものを信頼していく ための枠組みです。
  18. 18. とあるWindows PCでのルート証明書一覧 この全てを「絶対的に信頼」している訳です。 たとえばブラウザの接続先の検証だけでなく、 Windows Updateやウイルススキャナなどの 自動アップデートでもデジタル署名の検証が 入りますので、ここに不正なルート証明書が 登録されれば、気付かない間に不正な実行 ファイルがインストールされてしまう可能性 が出てきます。
  19. 19. これ全部 信頼してるの? マジで?
  20. 20. 私たちが信頼している「何か」 私がインストールしたブラウザに含まれるルート証明書 ブラウザの配布者が決められたポリシーに従ってビルトイン CA/Browser Forumでガイドラインを策定 ・Baseline Requirements ・WebTrust for CA 米国公認会計士協会・カナダ勅許職業会計士協会 が定める認証局の基準 ・EV Guideline 原則はガイドラインがあります、が……
  21. 21. 私たちが信頼している「何か」 私がインストールしたブラウザに含まれるルート証明書 ブラウザの配布者が決められたポリシーに従ってビルトイン + 管理者が登録したルート証明書 安易にルート証明書を 組み込まない鋼の心 「管理者」には、そのPCのユーザ自身だけで 無く、ハードウェアベンダーや販売者、企業 の情シス部門なども含まれます。 絶対的に信頼しているトラストアンカーに何 かを「仕込まれる」ことの危険性が、この一 連のスライドで最も伝えたいことです。
  22. 22. 最近の課題 • トラストアンカー(ルート証明書)の不適切な扱い • Superfish(オレオレCAのプライベート鍵が共通=公開) • 信頼できない認証局 • Symantec(Verisign)が実在ドメインの証明書を内部テストに利用 • 認証局システムへの侵入 • 利用する暗号化アルゴリズムの危殆化 • 2048bit RSAへの移行 • SHA-2への移行 このスライドの公開準備中に、プライベート 鍵を不適切に扱うSuperfish同様の 「eDellRoot」が発見されてしまいました。
  23. 23. PKIの今後 • PKIベースのデジタル署名の活用 • ウェブにおけるHTTPSの「当たり前」化 • SMTPのTLS化 https://googleonlinesecurity.blogspot.jp/2015/11/new-research-encouraging-trends-and.html • S/MIMEの活用 • PKIは「最後の砦」 • DNSやIPアドレスはもはや信頼できない • 「暗号学的」に守ってくれるのは、今ここにあるPKIだけ • 正しく理解し、適切に利用していく必要があります。 「暗号学的に守るのが当たり前」の時代に なりつつあり、PKIの正しい理解が必須です。

×