第7章 情報セキュリティ技術 (3)暗号
口AESとは,DESの後継となる米国政府標準の共通鍵暗号方式である。N|STによる審査の結果,ベルギ_のJoanDaemen氏とVincentRijmen氏が開発した「RijndaeI」(レインダール)という方式が選ばれた。ブロック長は128ビットで,使用する鍵の長さは128/192/256ビットの中から選択できる。
□ブロック暗号では,処理を複雑にし,暗号の強度を高める暗号化手法(暗号モード)が確立されてぉり,cBC(CipherB|ockChaining) やCFB(CipherFeedback)などがある。CBCは-つ前の平文ブロックの暗号結果と次の平文ブロックをXOR演算し,その結果を暗号化する方式であり,広く使用されてぃる。
□ハツシユ関数 ̄ま,任意の長さの入力デ_タをもとに,固定長のビット列(ハッシュ値,メッセ_ジダイジェスト)を出力する一方向性の関数であり,メッセ_ジ認証やディジタル署名などに広く用いられてぃる。主なハツシユ関数にMD5,SHA.1,SHA.2がぁる。
□SHA.Ⅱこは,ある条件下でハッシュ値の衝突を意図的に起こすことができるという脆弱性が発見されてぃることから,次世代ハツシユ関数(SHA.3)が決定されるまでの措置として,SHA.2に移行することが推奨されていたが,N|ST主催の次世代暗号コンペティションの結果,2012年10月に「Keccak」がSHA.3に選出された。
□MAC(メッセージ認証コ_ド)とは,通信デ_タの改ざん有無を検知し,完全性を保証するために通信デ_タから生成する固定長のコード(ビット列)でぁる。MACには,共通鍵暗号方式を用ぃたものと,ハッシュ関数を用いたもの(HMAC)とがぁる。
□HMACは,ハツシユ値の計算時に,通信を行う両者が共有している秘密鍵の値を加えてその通信固有のハッシユ値を求めるようにすることで,通信デ_タの改ざんを検知する仕組みである。
口フインガプリントとは,ディジタル証明書ゃ公開鍵,メールなどの電子データが改ざんされてぃなぃことを証明するために使用するデ_タであり,ハッシュ関数を用いて対象となる電子デ_タから生成する。
□PC環境において暗号化に用いる鍵を安全に生成して格納したり,暗号化・復号処理等を実行したりするための技術として,近年TPM(丁rustedPIatformModu|e)が広く用いられている。TPMは耐タンパ性に優れたセキュリティチップであり,通常PCのマザ_ボーHこ直付けする形で搭載されてぃる。
ロDiffie.He||man鍵交換アルゴリズムは,離散対数問題が困難であることを安全性の根拠にしており,安全でない通信路を使つて暗号化に用いる秘密対称鍵を生成し,共有することを可能にするものである。
ロSAとは,IPsecにおける論理的なコネクション(トンネル)であり,制御用に用いるlSAKMPSAと,実際の通信データを送るために用いるIPsecSAがぁる。IPsec通信を始める際…よ,最初に制御用の|SAKMPSAが作られ,次にIPsecSAが作られる。
口ISAKMPS川よ,lPsecゲ_トウェイ間で_つ(上り下り兼用)作られるが,IPsecSAは,各ホスト間にぉぃて,通信の方向や使用するプロトコル(AH,ESP)ご ̄こ別々のSAが作られる。IPsecSAの識別情報として,あて先IPアドレス,プロトコル,SPIが使用される。
□AH(認証ヘッダ)は,主に通信デ_タの認証(メッセージ認証)のために使用されるプロトコルでぁり,通信データを暗号化する機能はなぃ。
□ESP(暗号化ぺイ口ード)は,通信デ_タの認証(メッセージ認証)と,暗号化の両方の機能を提供するプロトコルである。
□AHではMACを用いてパケット全体の|CVを作成するため,完全性チェックの精度を高めることが可能だが,その反面,NATを使用している場合Ⅲよ経路上でIPアドレスが変更されてしまうため,完全性チェックが正常に行えなくなつてしまうという問題がぁる。
□ESPもAHと同様にMACを用いてICVを生成するが,AHとは異なり,IPアドレスについては計算の対象としていないため,NATを行つてもICⅥよ影響を受けずに済む。ただし,NAPTについては正常に行えなぃため,対処が必要となる。
□|KE(鍵交換)は,SAや鍵管理の仕様を規定した|SAKMP/Oak|eyを実装した汎用的なプロトコルでぁり,500/UDPを使用する。|KEの鍵交換方式として,|SAKMPSAの作成に使用するメインモ_ド,アグレツシブモード,IPsecSAの作成に使用するクイックモードなどがある。
□|KEでは,通信に先立つて通信相手を認証する。その方式としては,通信を行う者同士が,あらかじめ鍵を共有しておき,それによつて相手を認証する「事前共有鍵認証」のほか,「ディジタル署名認証」ゃ「公開鍵暗号認証」などがある。
口メインモードで事前共有鍵認証を行う場合,通信相手を識別するlDは暗号化されるが,|DにはIPアドレスしか使用できないという制約がある。そのため,モバイル接続のように,毎回動的にIPアドレスが設定される環境では使用できない。
口アグレツシブモードで事前共有鍵認証を行う場合,|Dは暗号化されないが,最初に送信されるため,|DにFQDNなどを使用して事前共有鍵との対応付けを行ぅことができる。そのため,IPアドレスが動的に設定される環境でも使用することができる・
□クイックモードでは前フェーズで確立した|SAKMPSAを使用して通信が行われるため,パケットのぺイロード部分が暗号化される・
ロリモ_トアクセス環境でのIPsec通信においては,SAの作成時に端末機器を認証(デバイス認証)するだけでなく,端末の使用者も認証(ユーザ認証)する必要がぁる。lPsecではこれを行う手段として,XAUTHが広く利用されている・
□NAPTを使用する環境では,AH,ESPともにそのままではIPsecを使用することができないため,IPsecのバケツ‥こ新たなUDPヘッダを追加(カプセル化)することによって対応する方法が広く用いられている・
□SSL/TLSは,トランスボート層とアプリケーション層の間に位置付けられ,その内部は下位層のRecordプロトコルと,上位層の四つのプロトコル(Handshakeプロトコル,ChangeCipherSpecプロトコル,A|ertプロトコル,App|icationDataプロトコル)から構成される。
□Recordプロトコルは,上位層からのデータを214バイト以下のブロックに分割し,圧縮,MACの生成,暗号化の処理を行って送信する。データ受信時には,復号,MACの検証,伸張の処理を行つて上位層に引き渡す。
□Handshakeプロトコルは,サーバ・クライアント間で新たにセッションを確立する,もしくは既存のセッションを再開する際に,暗号化アルゴリズム,鍵,ディジタル証明書など,通信に必要なパラメタを相手とネゴシ工-ションして決定する。
□SSL/TLSにおける[セッション」とは,Handshakeプロトコルによるサーバとクライアントの鍵交換(ネゴシ工-ション)の結果生成された,マスクシークレットによって特定される仮想的な概念である。一方「コネクション」は,セッションに従属して存在する通信チャネルであり,-つのセッション…よ,必要に応じて複数のコネクションが存在する。
□S/MIMEは不特定多数のユーザ間で安全性,信頼性の高ぃ通信を行うことを想定しているため,利用にあたって各ユ_ザは公的な第三者機関が発行するディジタル証明書(S/MIME証明書)を取得することが前提となる。
□PGPはS/MIMEとは異なり,”WebofTrusぜ(信用の輸)という考えに基づき,その安全性や信頼性を担保してぃるため,不特定多数のユーザ間での利用ではなく,特定のグループやコミュニティなど,限定された範囲での利用に適しているといえる。
□X.509はITU.Tが1988年に勧告したディジタル証明書及びCRLの標準仕様であり,ISOノ[C9594‐8として国際規格化されている。X.509v3では,ディジタル証明書の発行者が拡張フイールHこ独自の情報を追加できるようになったほか,2000年にはX.509v3の改訂が行われ,新たにAC(属性証明書),ACRL(属性証明書失効リスト)が定義された・
ロOCSPレスボンダとは,ディジタル証明書の失効有無をリアルタイムで応答するサ_バであり,CAやVAが運営する。クライアン‥よOCSPレスボンダに問い合わせることによって,自力でCRLを取得したり照合したりする手間を省くことができる・
□ScvPはocSPと同様に証明書の有効性検証をリアルタイムで行う仕組みであるが,OCSPではディジタル証明書の失効情報のみをチェックするのに対し,SCVPでは信頼関係(有効期限,署名など)も含めてチェックする。
□タイムスタンプとは,電子文書に対して,信頼される第三者機関である時刻認証局(TSA)が付す時刻情報を含んだ電子デ_タであり,その電子文書が「いつ」作成されたかということと「その時刻以降改ざんされてぃなぃ」ことを保証するものである・
口過去のある時点でディジタル署名が有効であつたことを検証するために当該署名に対する公開鍵証明書,当該証明書からル_卜証明書に至るまでのパス上のすべての公開鍵証明書,及びそれらに関する失効情報等をすべて集め,それらに対するタイムスタンプを付したものをアーカイブタイムスタンプという。
□アーカイブタイムスタンプは,関連する技術の危殆化にょって有効性が失われてしまう前にその時点の最新技術を用いて次のアーカイブタイムスタンプを取得する必要がある。これは,電子文書を保存している限り,必要に応じて繰返し行っていく必要がある・