集中力が続かない

こんにちは。
水神です。
F1終わったので、勉強もおしまい。

...しかし二時間は長いの。
集中力が続かない。
こんなことで試験受けられるんだろうか。

最後の方(VPN)なんて技術的な話まったくしてない。
めんどくさくなってやめてもた。
いかんの。

ここでしとくと、VPNでつくる仮想的なネットワーク回線をトンネルといいます。
スーパー競馬始まりました。
あー、競馬も一応スポーツなんだっけ。

競輪もきっとそうだな。
競艇も...となるとバイクのあれも？(オートなんだっけ？SMAPの6人目の人がいったやつ)
となると、ギャンブルはスポーツか？なら株もスポーツだな。

雨降るというので家にいたんだけど...ふらんの。
出かけてくるかの。
かたこったし。

[情報SEC]第39回 VPN

第39回　VPN

VPNは(Virtual Private Network)の名前の通り、仮想的に閉じたネットワークを作る技術。
VPNはIP層(第三層)に作られる技術。
したがって、その上に乗るTCP,UDPはその存在を意識することなく利用可能。

しかも、通信は暗号化されて行われるため、通信(パケット)を覗かれても安全。
最近はインターネットVPN装置が安く(十数万円)なってきているため、
安価なWANとしても利用されることが多い。

VPN自体をサービスとして提供する通信会社もある。(というか、みんなやってる。)
これは、インターネットVPNとは区別して、IP-VPNと一般に言われてる。
けど、日本では広域イーサ(イーサネット)が主流となり、いまいちな印象。

広域イーサはイーサネット(第二層)を仮想化するため、IPも完全な形で実現できる。
それに加え、必要ならIP以外のプロトコルも流せる。
そのため人気。それを作った会社(CWC)は競争に負けてしもたけど、技術は未だ健在。

[情報SEC]第38回 暗号の基礎

第38回　暗号の基礎

暗号とは
１．ある決められた約束事に従い、
２．固有の値を用いて他の文字/記号を変換すること。

たとえば、HAL。
2001年宇宙の旅にでてきたコンピュータだ。
この名前もまた一種の暗号といえる。

この三文字を
２．アルファベット順に(固有の値)
１．一ヶずつずらす(約束事)

と、IBMとなる。
五十音順にずらすとか、クイズなどでもよく使われる簡易(安易)な手法。
これも一種の暗号化です。

主な暗号方式として、次の二つがある。(三つ目として両方つかうものもある。)
１．共通かぎ暗号方式
　　同じ暗号鍵を使って暗号化するもの。
　　簡易で昔からある方式で、今でも重要な技術。
　　両者(暗号する人複合する人)が同じ鍵(パスワードみたいなもの)を持っている
　　必要があるため、この鍵を安全に双方が知る・使う必要がある。
　　有名なものとして、DES(です)、3DES(とりぷるです)、AES(読み方不明)がある。

２．公開鍵方式
　　秘密鍵と公開鍵というのを使って行う方式。
　　鍵を二つ作り、一つは秘密にし、一つは公開する。
　　秘密鍵で暗号化したものは、公開鍵で復号可能。(秘密鍵では復号できない。)
　　公開鍵で暗号化したものは、秘密鍵で復号可能。(公開鍵では復号できない。)
　　なので、Aさんに暗号化した情報を送りたい場合は、Aさんの公開鍵で暗号化する。
　　すると、秘密鍵を持っているAさんしかこれを復号することはできない。
　　もう一つ。
　　Aさんが秘密鍵で暗号化したものは、Aさんの公開鍵でしか復号できない。
　　つまり、その暗号化された情報はAさんが、Aさんしかしらない秘密鍵で
　　暗号化したものであることが証明できる。
　　一般に電子署名と呼ばれるのが、これ。
　　ちなみに一般的に使われている公開鍵暗号方式はほとんどRSAです。
　　もうひとつ、認証局ですが、これは公開されている鍵が本物であることを
　　保障するためのシステムです。
　　偽物のAさんの鍵を本物として使われては、意味ないので。

ここでSSLの話をひとつ。
SSLは暗号化された通信ですし、公開鍵暗号化方式です。
でも公開鍵暗号化方式は計算にCPU負荷がかかるのです。

そこで。SSLでは、秘密鍵を安全に相手に送る手段として公開鍵方式を使っています。
なので、通信自体は秘密鍵(CPUに比較的負荷がかからない)を使っています。
この本に書いてあるハイブリッド方式にあたります。

ハッシュ関数
これまでにも何度か出てきましたが、これは不可逆暗号を作るものです。
元には戻せないが、同じものを確実に作れる仕組み。

いろんなところで密かに使われております。
現在はMD5やSHA-1(水神はシャー読んでます。たぶんエスエッチエイが正しい。)が主流。
MD5はPHPにも実装されているので、簡単に作れます。(JavaにもPerlにもあるでしょ。)

[情報SEC]第37回 シングルサインオンによる認証システム

第37回　シングルサインオンによる認証システム

さて、認証の話もようやくこれで最後。
何しろ四月に入り、受験票まで届いてしまったので、急いでおります。
シングルサインオン(SSO...えすえすおー)について。

SSOは一般的にはWeb向けに使われます。(広義の意味では全ての認証ですが。)
一度の認証(ログイン)で、全てのシステムにアクセスできるというシステム。
正確には、SSOに対応したシステム。ですが。

最近では社内でも社外でもWebシステム(インターフェースがWeb(IE専用も多数))ばかりとなっているため、
Web専用になってもさして害はないのです。
SSOをやるには、ユーザIDの統一が必要です。

この本ではパスワードも統一が必要と書いてありますが、裏技はたくさんあります。
正確にはユーザIDも統一しなくてもいいんだけど。(情報は必要。)
SSOでは、当然ですがどのシステムが使えるかを設定します。

各システムはSSOを全面的に信用しているため、SSOが許可すれば受け入れるためです。
もちろん、SSOを疑うシステムも作れますが、それでは認証システム一元化の意味が薄れます。
コストもかかるし、変な挙動するし、バグも増えるし。いいことないです。

あと、認証はクッキーをつかうため、クッキー特有のセキュリティの問題が発生します。(既述)
SSOは個別のシステムであり、SSOの統一プロトコルがあるわけではありません。
なので、互換性はありません。

SAMLによるSSOシステム
SSOがあまりに互換性がないので、インターネット上で不特定多数のサーバで
使うのは事実上不可能です。

そこで、SSO業者(とネットワーク屋)がまとまってSAML(さむる)という仕様をつくりました。
これは、認証情報をXML形式にしてやりとりするものです。
XML上の情報をどう使うかは、各SSOシステムに依存します。

当然ながら、あるシステム(A)で認証された情報を信用するかどうかは、
別なシステム(B)が決めることです。
BはAを信用できないなら、改めて認証をする(ログインを求める)ことになります。

でも、これも用語だけ覚えておけばいいと思います。
もしかしたら午後問題にでるかもしれませんが、よく分からない場合は
選択しないことをお勧めします。

水神はSSOもやってました。
無線LAN(802.1x)もやってたし、LDAPもRADIUSも指紋認証もS/Keyも。
...なんでも屋さんだの。なんかキャリア的には拡散しすぎな気がします。

今回この勉強をしてて、本気でセキュリティ屋を目指すべきなきもしてきました。
初めて聞く話は一つもないし、理解不能(したくない)なのはRADIUSくらいだし。
いつの間にかセキュリティ全般を経験(勉強ではなく仕事上で)していたようです。

スカウト募集します。
興味があったら、gooのメールまで。
セキュリティ屋なら、ぼくのgooメールアドレスは分かるはず。

[情報SEC]第36回 認証システムを実現するさまざまな技術

第36回　認証システムを実現するさまざまな技術

RADIUS
ネットワークの利用者の認証と利用記録を一元的に行うシステム。
いろんなところで必要とされる認証を全てこれでやります。というシステム。

ユーザ情報が一元管理できるので、管理上もセキュリティ上もすぐれています。
フリーのRADIUSもあり、密かにいろんなところで使われています。
RADIUSは認証システムなので、ここまで書いてきた全ての認証を扱えます。

扱えるシステムが売っているか(存在するか)どうかは問題ではありません。
理論上扱えるというのが重要です。
つまりお金さえかければできない認証はないということです。

TACACS/TACACS+
RADIUSとは発生元が違うようだが、目的は同じ。
認証を一元管理するためのシステムだ。

TACACS+はCISCOが勝手に拡張したシステム。
でも、事実上デファクトスタンダードとなっていて、TACACSといえば、+(プラス)のことを指すくらい。
TACACSとの違いは、プロトコルがTCPであることと、認証に加え、認可と課金の機能をもつこと。

Kerberos
Windowsサーバに標準で実装されたことから、普及するかと思われたが、
さすが、マイクロソフト。

勝手に実装を追加したため、他のシステムではつかえず、結局閉じたシステムになってもた。
標準化させない度No1企業の面目躍如といったところか。
最近は態度を改めてきている模様だけど。

これの仕組みはややこしいし、ぼくは嫌いなので書きません。
まあ、そんな認証方式もあるということで。
言葉だけは有名です。

ディレクトリサービス
これもまた、マイクロソフトがアクティブディレクトリ(AD)なる名前で実装して有名になった。
一般的にはLDAP(えるだっぷ)と呼ぶことの方が多い。

LDAPはツリー構造で情報を管理する仕組み。
LDAP自体がプロトコルでもある。(正確にはDAPプロトコル)
LDAPはもともとインターネット上の電話帳(あるいは住所録)として作られた。

現在はユーザ情報の管理として使われている。
ADは例によって勝手に拡張しているが、プロトコルはDAP。
LDAPの構造自体は自由に拡張可能なため、マイクロソフトの行為自体はふつーである。

LDAPは簡単に使えるため、社内アドレス帳などのDBとしても使われる。
というか、ちょちょいとこの間作った。
linux+LDAP+PHPで簡単に作れます。一番面倒なのはデータ(個人情報)の入手。

EAP
PPPの認証機能を強化・拡張したユーザ認証プロトコル。
というよりは、IEEE 802.1xを実装したプロトコルとして有名。

IEEE 802.1x
元々は有線LAN用のユーザ認証プロトコルとして作られたが、
需要は無線LANにあったようで、現在では主に無線LANで使われている。

EAP(802.1x)はRADIUSとセットで使われます。
比較的安価(数十万円)で構築できるし、無線LANはそのまま使うにはあまりにも
危険なので、かなり普及してます。

安価な無線LANでは無敵のバッファロー(旧メルコ)にもあるので、
ホームページ見ときましょう。
ちなみに認証情報はパソコンにセットしておいて、いちいちログインしないで済むようにもできます。

本当は毎回入力させるべきなんだけど。
面倒だしね。
問い合わせを受ける管理者が。(だから自動化する。認証を？...本末転倒な。)

[情報SEC]第35回 ICカードによる本人認証

第35回　ICカードによる本人認証

ICカードは、皆さんもってらっしゃると思います。
銀行のカードやクレジット会社のカードに四角く光るものがついているのがそれです。
システム側には公開鍵が入っているので、これを使って暗号化して、ICカードに渡します。

ICカードには秘密鍵が入っていて、これを使って情報を複合化します。
あるいはデジタル署名します。
このあたりは、公開暗号方式の話で、あとでまた出てきますのでしくみは割愛。

ICカードには耐タンパ性が求められます。
つまり、勝手に内容を読みとられない性能です。
最近は磁気カードに変わってICカードが使われることが多いのはこれが理由です。

磁気カードは誰でも簡単に(読み取り機があれば)読みとれます。
磁気なので、それを制御するのは不可能です。
内容を暗号化したとしても、それをそのままコピーして使われれば意味ありません。

それに対してICカードはICの中に秘密鍵とそれを使ってうまいことやるプログラムが入っています。
なので、入力と出力は読みとれても、その中で何をしているのかはわかりません。
中の情報も当然読みとれません。

通常の方法では。
この本にも書いてあるとおり、それでもハッキング手段はいくらでもあります。
それに対する仕組みもいろいろあるようです。

たぶん試験に出るとすると、無理に読みとろうとすると自爆する(壊れる)という
特性ではないかと思われます。
それ以外は専門的すぎるので、たぶんでないでしょう。
磁気カードとの対比部分を覚えておけばよいと思います。

[情報SEC]第34回 バイオメトリックスによる本人認証

第34回　バイオメトリックスによる本人認証

バイオメトリックス認証とは、人間の身体的特徴や行動などのユニーク(一意的な)部分を利用する認証システム。
指紋は携帯電話やパソコンにもすでに実装されていて、技術的にはほぼ完成してる。
あと、東京三菱(not UFJ)に導入された静脈認証も比較的有名。

でもこれが完璧かというと...
指切り落とされて使われるのはもちろん、他の素材でコピーもできているという事実もあり、疑問。
相手は所詮はセンサー＋コンピュータでしかないので、だますことも不可能ではない。

相応のコストはかかるが。
あと、筆跡とかキーストローク(キーを押すタイミングを覚える。)などでの認証もある。
キーストロークは比較的簡単なソフトでできるので、利用もされている。

筆跡は専用のハードウェア(タブレット)がいるし、なじみもないのであまり普及してない。
この本では、本人でない者をご認識する確率が非常に低いと書いてあるけど、
これはうそです。正確に言うと、悪意をもってだますことは可能。

悪意がない場合でも、バイオメトリックスでもまだ確立されていない分野(顔とか)もあり、
全てが誤認識の確率が低いとは言えない。
まあ、このあたりは問題文から試験官の意図を読みとって答える必要はあるけれど。

環境の違い

同じこと
環境違う
ことだけで
うまくいかぬは
これ道理なり

同じことでも環境が違えばうまくいかない。
今日ガノトトス(亜種/密林)に教わったことです。

経験の大切さを教えてくれたガノトトス

難しさ
変わるものでは
ないはずも
経験が生む
容易な気分

ガノトトス二度目～。(モンスターハンター２というゲームの敵のひとつ。)
もう余裕です。何度やっても倒せそうな感じです。
が。まだヒレははぎ取れず。ひれ酒はいつになったら飲めるんでしょうか。

しかし。
一度倒すまでは、こんなん絶対無理！って感じていたわけです。
でも一度倒せれば、こつをつかめるだけでなく、倒せるという事実と自信がつくのです。

単純なシステムであるところのテレビゲームなので、これもまた顕著な結果ですが、
人生起こりうる全てのことに当てはまります。
経験を伴った知識が熟成されて知恵となり、新たなことでも無ではないところから始められる。

人生における経験の重要性を感じた現象でした。
ガノトトスに感謝。
よく見れば結構かわいい顔してるし。(うそ)

[情報SEC]第33回 ワンタイムパスワード方式による本人認証

第33回　ワンタイムパスワード方式による本人認証

そのまんまですが、一回しか使えないパスワードのことです。
略すとOTPとのことです。...ほんとか？
パスワードを毎回変えることにより、安全性を保ちます。

例え、ばれても次にはもう使えません。
ワンタイムパスワードは次の二つの要件を満たす必要があります。
１．生成するパスワードが推測不能なこと。
　　当然ですが、作成パターン(ロジック)が分かれば、パスワードを作り放題です。
２．ユーザがパスワードを覚えなくていいこと。
　　これもまた当然ですが、使い捨てパスワードを覚えられるわけありません。
　　そもそも不可能です。

チャレンジレスポンス方式
サーバとクライアントが同じパスワード文字列(シードと呼ばれる)を持っています。
当然これは事前にアナログ(人手)で登録。

で、それを元に、チャレンジと呼ばれる文字列を作る。
これはてきとーな文字列。何でもよい。ただし、毎回変える。
これをサーバはクライアントに送って、双方で同じパスワードから同じロジックでレスポンスと呼ばれる文字列を作る。

元の文字列が同じでロジックも同じなのだから、クライアントもサーバも同じ文字列を作れる。
これをクライアントがサーバに送ってサーバが同じ文字列かどうか確認して認証する。
ここでのみそはシードを両方に用意しておくこと。人手での設定。

S/Keyによるワンタイムパスワード認証システム
んー、これは説明がめんどくさい。
簡単に言うと、初めに大量のパスワードを作っておいてそれを使い捨てするシステム。

大量というのは、数千～一万くらい。
でもその大量のパスワードをネットワーク上流しては意味ないので、
これは流さない。

さっきのと同じくパスワードと同一の変換ロジック(ハッシュと呼ばれる計算方式)を

サーバ・クライアント双方に用意して、パスワードを作成する。
パスワードは初期値からハッシュを利用してどんどん計算して作成していく。

ハッシュは不可逆暗号とも呼ばれ(たぶん。最近はあんまりきかない。)、
暗号っぽく意味不明な文字列は作れるが、これを元に戻すことはできない。
そういうロジック。

で、この方式で作成したものを逆順に使っていく。(これがみそ。)
不可逆なので、あとで作ったパスワード文字列がばれたとしても、
それを元にその前(パスワード作成順。使用順だと後)のパスワードは推測不能。

なので、パスワードとして使える。
簡易的(無料。フリーソフトで利用可能。)なワンタイムパスワードとして、使われている。
...まだ使われてるんかの。最近きかんの。

トークン(携帯認証装置)によるワンタイムパスワード認証システム
最近相次いで銀行が導入を決めたことでも話題になってる方式。
今ワンタイムパスワードというと、だいたいこれを指す。

ソフトウェア方式もあるけど、やってることは同じなので、ハードウェア方式の話をします。
ボタンぽんで、パスワードが出てくれば簡単ですが、
これではなくしたり盗まれたりした時にいきなりセキュアでなくなります。

なので、PINコードと呼ばれるパスワードにあたる文字列を入力します。
ボタンの数の問題で、大概PINコードは数字のみです。
実際使ってみるのが一番よいと思いますので、ワンタイムパスワード対応の銀行に口座作って、使ってみるのがよいと思います。