セキュリティ基礎
情報セキュリティC.I.A
1.機密性 Cpnfidentiality 許可されたものだけが許可された活動を
2.完全性 Integrity データの改ざんや欠落が発生することなく一貫性を維持する
3.可用性 Availbility 必要なときにいつでも正常なサービスを提供できる
付加的なものとして
1.真正性 authenticity 主張通りであること
2.責任追跡 accountability 主体となる動作内容を追跡可能であること
3.否認 non-repudiation 否認されないようにすること
4.信頼 relability 処理の結果に矛盾がないこと
Web3層システム
メリット
1.1サーバのサービスが必要最低限に
2.リバースプロキシを利用することでセキュアに
- >SSLオフローダーとして動作させることで443ポートも解放しないで済む
3.被害が最小限
- >分散して管理しているため
ソフトウェア型かハードウェア型か
1.ソフトウェア型 パソコンやサーバなどに搭載されているFW
2.ハードウェア型 専用機器
どの層でフィルタリングするか
1.パケットフィルタリング型
パケットというように3層であることがわかる。
パケットフィルタリング型は3層でのIPと4層のトランスポート層でのポート番号による振り分けが可能。
2.ゲートウェイ型
7層でのフィルタリング。
HTTPやクッキーを条件にフィルタリング可能。
UTM
Unified Threat Management(統合脅威管理)
以下のような機能を統合
1.IDS
2.IPS
3.アンチウイルス
4.アンチスパム
5.Webコンテンツフィルタリング
IDSの分類(ホスト型、ネットワーク型)
1.ホスト型 各クライアントにアクセス
2.ネットワーク型 ネットワーク上に配備
平文と暗号文
1.平文 生のデータ
2.暗号文 そのままでは読めないデータ
3.複合 鍵を使って暗号文を平文にする
4.暗号化 鍵を使って暗号化すること
5.鍵を使わないで平文に戻す事
SSL/TLSの位置づけ
※SSL/TLSはアプリケーション層に位置し、HTTPなどのすぐしたにあるイメージ
SSL 1.0,2,0,3.0
TLS
1.0,
1.1, 暗号化アルゴリズム
1.2 ハッシュアルゴリズム
IPsec AHとESPの2つのプロトコルが使用可能
メッセージ認証を行う。暗号化しない
1.AH Authentication Header
トランスポートモード
トンネルモード 新しいIPヘッダをつける
2.ESP Encapsulated Security Protocol
メッセージ認証。データ暗号化!
トランスポートモード
トンネルモード 新しいIPヘッダをつける
トランスポートモードとトンネルモードの2つのモードが使用できる
トランスポートモード
トンネルモード 新しいIPヘッダをつける
暗号技術
公開鍵暗号方式
だれでも暗号化可能。みるのは自分だけ。
暗号化を公開鍵、複合を秘密鍵
送信側に対して今度は受信側から暗号化したデータを送信しようとする場合、送信側で秘密鍵と公開鍵を作成し、公開鍵を公開しておく必要があります。また共通鍵を使用する場合と比較して処理が複雑になるため処理速度が遅くなる傾向がある
一方向ハッシュ関数
代表値を求める。完全性を提供。
メッセージ認証コード
MAC。改ざんを防ぐ。完全性と認証を提供。
疑似乱数生成器
暗号化アルゴリズムで利用する。
ブルートフォースアタック
パターンをすべて試す
辞書攻撃
英単語をリストアップして推察
差分解読法
複数の平文とそれに対する暗号文の差分を解析
線形解読法
関数を近似させて解読
レインボーテーブル
ハッシュ値から元の値を得る。レインボーテーブルという特殊なテーブルを利用する。
共通鍵暗号方式の種類
シーザー暗号
ずらす
DES
IBM。可読されている。
3DES
DES互換性を持つ。
AES
アメリカの暗号規格。
公開鍵の暗号方式
ElGamal暗号
離散対数問題を利用。
楕円曲線暗号
楕円の離散対数問題が困難であることが根拠。
研究が盛ん。
メッセージ認証コード
message authentication code MAC
完全性と認証を提供
公開鍵基盤
1.ディジタル証明書 公開鍵を保証
2.認証局 証明書の管理を行う
3.公開鍵基盤 保証を実現する
ディジタル証明書
1.バージョン
2.シリアル
3.認証局名前
4.有効期限
5.主体者
6.主体者の公開鍵
7.公開鍵アルゴリズム
8.署名アルゴリズム
9.認証局の署名
ながれ
証明書
1から7、8で計算したものと
9での署名をくらべて、それぞれのメッセージと検証メッセージが同じであれば公開鍵を保証できる。
鍵の強度
RSA(2048bit) ≒ 楕円(210bit) < AES(128bit)
無線LANのセキュリティ
WEP
WPA
WPA2