SECUAD 6/21

secuad

cutxout2005-06-21

Chapter11 続き

認証
  • 認証の脅威
    • password sniffing
      • 平分パスワードだと、これでアウト
    • dictionary attack
    • hijack attack
      • 認証終了後、通信セッションを乗っ取る。
      • 多くの通信プロトコルは、認証後にセッション情報を元にセッションを保持するから。
      • 例えば、Web applicationのcookie奪取。
    • man-in-the-middle attack
      • Network通信の利用者と検証者の間に割り込んで、リレーする。
    • replay attack
      • Login sessionを保存し、これを再現する。
      • 暗号化されている場合、パスワードそのものはわからないが、なりすまし認証できてしまう。
      • 対策は、認証毎に異なる認証情報を持つこと。
  • 認証(Authentication)と認可(Authorization)
    • Authorization: 認証した利用者に対してリソースへのアクセス権限を与えること。
      • role-based security policy
      • rule-based security policy
  • SSO(Single Sign-On)
    • 特にWebサーバで一般的な方法
      • Reverse Proxyy方式
        • proxyサーバが各Webサーバへのリクエストを全てチェックして、認証済みの物のみ中継する。
      • 方式
        • 各Webサーバがエージェントを持ち、認証サーバからの利用者認証情報が引き継がれる。
    • OASIS(Organization for the Advancement of Structural Information Standard)
      • SAML(Security Assertion Markup Language)
        • 標準化されたシングルサインオンを構築できるようにするための物。
        • Assertion: 認証サーバとエージェント間の利用者確認情報、認可情報の引き継ぎ
          • 出所(source)、生成時刻、属性によって区別する
          • SAML assertion -> XML
          • cookie
  • Identity管理(IDM)
    • 総合的な利用者情報の管理
PKI(Public Key Infrastructure)
  • TTP: Trusted Third Party
  • PKIの信頼モデル
    • 階層モデル
    • 相互認証モデル(Cross Certificate Model)
    • ブリッジモデル
  • X.509公開鍵認証
    • 公開鍵証明書の標準としてITU-Tが策定
  • 証明書の失効
    • 状況
      • 有効期間切れ
      • 意図的に効力を失わせたい
    • 方法
      • 失効させたい証明書のシリアル番号を書いた失効リスト(CRL)を使う。
      • CAはCRLに署名し、証明書ユーザ間で利用できるリポジトリに公開する。
      • 1dayていどの有効期間で一定周期毎に発行される。
    • カテゴリ
      • Enduser Entity(EE)証明書
      • CA証明書
    • OCSP(RFC2560: X.509 internet Public Key Infrastructure Online Certificate Status protcol)
  • PKIによる認証
    • PKI署名に基づいた認証 -> パスワード情報をサーバが保有しなくて済む。
      1. クライアントからサーバに対する認証要求する。
      2. サーバは一時戻り値Nonseをクライアントに返答する。
      3. クライアントはNonseを元にH/Wに対する署名要求をする。
      4. H/WはNonseに対する署名を行う。
      5. クライアントは署名結果をサーバに返答する。
      6. サーバはクライアントからのNonseに対する署名を、公開鍵で検証する。
  • PKIアプリケーション
    • クレデンシャル
      • プライベート鍵、証明書
      • クライアント自身が管理すべき情報
    • 証明書ユーザ間で教諭される情報
  • PKIリポジトリ
    • LDAP、Webサーバなどを利用
  • 耐タンパ性?
  • RA(Registration Authority)
    • RA-EE間
      • CMP(RFC2510: Certificate Management Protcol)
      • オンラインで証明書発行んかもできる
      • 一般郵便や手渡しを使うこともできる
    • 小規模CA
      • CAとRAが一体化する傾向
    • 大規模CA
      • CAとRAは別組織の傾向
    • 具体例
      • 公的個人認証サービス
        • CAは都道府県単位
        • RAは市区町村の単位
          • EEから近いところにある。
          • LRA(Local RA)