Chapter11 認証、PKI、電子署名

• 認証
  • 一般論
    • サーバから見たユーザの真正性をチェックするための手段。
    • Certification
    • TEMPEST
    • FIPS140-2: U.S. の暗号に関する調達基準
  • バイオメトリクス認証
    • 特徴量抽出処理 -> 認証用テンプレート作成
    • 登録用テンプレートとのマッチングで類似度を検査する
    • FAR: False Acceptance Rate
    • FRR: False Rejecction Rate
    • バイオメトリクス情報 == 身体的情報 == 交換がきかない
    • プライバシー問題
  • ISO/IEC 9798 (JIS X 5056) エンティティ認証
    • 対称鍵
      • クライアントがシリアルと時間情報を渡す方式
        • 1 pass で OK だが、クライアントとの時間同期が問題
      • Challenge Responce
        • 2 pass
        • サーバが乱数を元に Challenge を送信する
      • kerberos
        • TTP としての鍵配付センタ(KDC)と対称鍵を共有する方式
    • 署名
      • クライアントがシリアルと時間情報を署名（暗号化）して送信する方式
        • サーバは対応する公開鍵で複合する
        • 1 pass
        • 但し、時間同期が必要
      • Challenge Responce
        • 2 pass
      • 公開鍵署名
        • サーバがクライアントの鍵を検証するために、TTPの発行する公開鍵証明書を用いる方式
        • X.509証明書に基づくPKIとか
• 認証プロトコル
  • IETFが開発している物が多い
  • EAP(Extensible Authentication Protcol)
    • PPPの拡張で、無線LANやVPNに使われる
    • 認証メカニズムを組み込むためのフレームワークで、EAP情の認証プロトコルと認証メカニズムで認証する。
      • AVIみたいな物かね。
    • EAP-TLS、EAP-LEAP(Protected EAP)とか。無線LAN(802.1x)でよく出てくる奴ですね。
  • IPsec/IKE
    • IKE: Internet Key Exchange
    • UDP 500
    • IPsec Phase-1の認証
    • 事前共有鍵(pre-shared key)認証、PKIによるクライアント認証など
  • SSL/TLS
  • SSH
  • SASL(Simple Authentication and Security Layer)
    • アプリケーションに組み込まれる認証プロトコルのフレームワーク
    • SMTP認証、IMAP4など
      • Skey, cram-md5, digest-md5とか
      • IANAに対する登録制