情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

7.通信の暗号化

VPNとは
 VPN(Virtual Private Network)とは、仮想的なネットワークを構築することです。NTTなどの通信キャリアが提供するIP-VPNや、インターネット上に構築するインターネットVPNがその代表です。インターネットVPNを実現する技術がIPsec(Security Architecture for Internet Protocol)です。

VPNの目的
VPNの目的というか意義について、過去問(H19秋SU午後1問1)にて解説されている。
O君:基本的なことですが,これらのVPNを用いる意義は何ですか。例えば,AESといった共通鍵暗号化方式で暗号化したファイルを転送すれば,VPNは必要ないと思います。
S君:そうとは言い切れないよ。ファイル転送の際,暗号化によって盗聴は防げるが,暗号化だけでは,[ ア ]や[ イ ]の脅威を防ぐことはできない。VPNを適切に用いれば,それらの脅威に対処できる。また,暗号鍵は接続ごとに更新することが望ましいので,そのための仕組みもこれらのVPNでは利用できる。
O君:なるほど。 VPNで総合的なセキュリティを確保できるということですね。

設問2 本文中の[ ア ],[ イ ]に入れる適切な字句を,それぞれ15字以内で答えよ。ただし,[ ア ]には真正性について,[ イ ]にはデータの完全性について答えよ。
O君の指摘はナカナカ鋭い。こう思った人もいるだろうし、私も一瞬、「そういえばそうだな」と思ってしまった。
アは真正性なので、なりすましだ。イは安全性なので、改ざんである。
試験センターの解答例は15文字ということで、少し長めだ。
ア 意図しない相手との通信
イ データ破壊

加えて、後半の問題文にある「VPN導入後、利用者の手間がかからない」という記述もあり、これも利点であろう。個別に暗号化処理をするのは面倒である。しかし、ルータ等でVPNの経路を作ってしまえば、利用者は何も気にせずにセキュアな通信が行える。

IPsec
IPsec(Security Architecture for Internet Protocol)は難しいです。でも,一回理解してしまえば簡単です。このとき「トンネル」という概念で覚えるのではなく,パケットレベルでどうなるかを理解して下さい。本質を理解することが近道です。
また,最初から細部まで理解しようとするよりは,まず全体像を理解し,そこからブレークダウンすることをおすすめします。
過去問(H23SC春午前2問18)では、IPsecに関して、「インターネットVPNを実現するために用いられる技術であり、ESP(Encapsulating Security Payload)やAH(Authentication Header)などのプロトコルを含むもの」と述べられています。

IPsecの概要
下図はIPsecでの通信の様子である。通常のルータによるルーティングとの違いを,パケットの変化に注意しながら見てほしい。以下はホストAからホストBへ,VPNルータでIPsecによる暗号化の通信である。

ipsec
ipsec
VPNルータAとVPNルータBの間でトンネルを作り,
その中をデータが流れるのですよね。
でもトンネルってどんなのですか?
トンネルは作られない。私も最初は仮想のトンネルが作られると思っていた。
だから、混乱した。
実際の動きは,元のパケットを暗号化し,新しいヘッダを付けます。つまり,トンネルではなくカプセル化である。

IKEの実行モードは,試験でよく問われる。

メインモード
IPsec接続先のIPアドレスも認証情報として利用する。したがって,双方とも固定IPアドレスでなければ認証ができない。その分、下のアグレッシブモードに比べ、メインモードの方がセキュリティは強固だ。認証情報であるIPアドレスは偽装が難しいからである。

アグレッシブモード
IPsec接続先のIPアドレスは認証情報として利用しない。したがって,動的IPでも認証できる。固定IPアドレスは費用がかかるので,コスト面でアグレッシブモードを選ぶ企業も多いであろう。
ネットワークスペシャリスト試験では,動的IPを利用するときには,アグレッシブモードを利用しなければならないことが何度か出題されている。
Aggressive(アグレッシブ)モードでは,XAUTH(eXtended AUTHentication)というIKEの拡張機能で認証を強化する場合がある。リモートアクセスユーザが不正な第三者でないか判断するために,VPN装置がRADIUSサーバと連携して認証を行う。
過去問では以下のように述べられている。
IKEのフェーズ1には、メインモードとアグレッシブモードがあり、リモートアクセスの利用形態に依存してどちらかを使います。メインモードでは、端末のIPアドレスをIDとし、それに事前共有鍵を割り当てます。一方、アグレッシブモードでは、利用者のIDなど運用者が独自に設定したIDに対して事前共有鍵を割り当てます。(H19SV午後Ⅱ-2より引用)
d18680c9
この問題では、IPsecに関して技術的に詳細な情報が記載されています。
この文章もそうですが、読むのが結構つらかったです。




確かに難しい。でも、この文章も別の言い方をすると、考え方は同じだ。
メインモードは両端が固定IPアドレスが要件。一方のアグレッシブモードは、独自に設定したIDを利用できるということは、動的IPアドレスでも利用できるということが分かる。

ESPとAH
ESPとAHの2種類のセキュリティプロトコルがある。
ESP(Encapsulating Security Payload)が一般的で,暗号化と認証の両方の機能を持つ。
一方AH(Authentication Header)は,認証のみの機能を持ち,あまり利用されていない。

IKE(Internet Key Exchange)
鍵交換のプロトコル。IPsec通信のための鍵交換を安全に実施する仕組みであるが,IPsecに必須な機能ではない。。しかし,鍵交換を自動で行ってくれるため,IKEを利用することが多い。

ESPのパケット構造
以下の問題を参考にしながら、解説をする。

図はIPsecのデータ形式を示している。ESPトンネルモードの電文中で,暗号化されているのはどの部分か。

IP

ヘッダ

EPS

ヘッダ

オリジナル

IPヘッダ

TCP

ヘッダ

データ

ESP

トレーラ

ESP

認証データ


ア ESPヘッダからESPトレーラまで
イ TCPヘッダからESP認証データまで
ウ オリジナルIPヘッダからESPトレーラまで
エ 新IPヘッダからESP認証データまで

(H20NW午前問26より)
・ESPヘッダ:SAを識別するためのSPIや,シーケンス番号
・ESPトレーラ:パケットの長さを調整するためのパディング(詰め物)等
・ESP認証データ:パケットが改ざんされていないかを確認するための情報

この問題の正解はウである。オリジナルIPヘッダからESPトレーラまでが暗号化されている。
なので、第三者が見ると、以下のような状態だ。

IP

ヘッダ

EPS

ヘッダ

XXXXXXX

XXXX

XXX

XXX

ESP

認証データ

15863853
あれ?
TCPやUDPにあるようなポート番号がありませんね。




そう。ESPにはポート番号がない。
だからポート番号を使ったNATであるNAPTができないので,VPNパススルーやNATトラバーサルなどが活用される。

1.SSL/TLSとは
SSL(Secure Socket Layer)はNetscape社が開発した暗号化の仕組みです。その代表例はhttpsでして、オンラインバンキングなどでは、httpsで始まるURLにアクセスしますから、なじみ深いことでしょう。
以下は三菱東京UFJ銀行のオンラインバンキングの画面です。お金を扱いますし、パスワード情報も流れるので、httpsによって通信が暗号化されます。
特徴は、通信を暗号化するために、SSLの証明書を使う点です。以下は、緑色のバーの右にある鍵マークをクリックした状態ですが、このように、Webサイトの証明書が利用されていることが分かります。
SSL
過去問ではSSLに関して,「Webサーバとブラウザ間でデータを暗号化して転送する場合に使用することができるプロトコルである(平成19年度ソフ開 午前 問56)」と述べられています。
最近はGoogle検索でもhttps://www.google.co.jp/?gws_rd=sslに自動でリダイレクトされ、httpsによる暗号化通信が行われます。

下の過去問を見てみよう。
問16 セキュリティプロトコルSSL/TLSの機能はどれか。
ア FTPなどの様々なアプリケーションに利用されて、アプリケーション層とトランスポート層(TCP)との間で暗号化する。
イ MIMEをベースとして、電子署名とメッセージの暗号化によって電子メールのセキュリティを強化する。
ウ PPTPとL2Fが統合された仕様で、PPPをトンネリングする。
エ 特定のアプリケーションの通信だけではなく、あらゆるIPパケットをIP層で暗号化する。(H22SC春午前2)
すべての選択肢が何を指すかを考えるとよい。イはS/MIME、ウはL2TPであり、エはIPsec。また、今回の正解はア。

2.SSLの目的
SSLを利用する目的を3つ答えよ
女性SE(システムエンジニア)の成子 


結構難しいですね
過去問(H26SC春午後問1)に整理されているので、見てみよう。
〔SSLの機能概要〕
 インターネットはオープンなネットワークなので,多くの脅威が存在する。これらの脅威に対応するためにSSLが利用される。SSLでは,[ a ],なりすまし及び[ b ]に対する対応策が提供される。
 [ a ]の防止は,公開鍵暗号方式と共通鍵暗号方式を組み合わせて実現される。なりすまし防止は,サーバ認証とクライアント認証によって行われる。送受信される
メッセージの[ b ]検知は,メッセージの中に埋め込まれる,MAC(Message Authentication Code)を基に行われる。

正解であるが、aには盗聴が入り、bには改ざんが入る。
ということで、SSLの目的は、盗聴となりすまし、および改ざんの防止である。

3.午前問題を少々
以下の問題にチャレンジしてみよう。
問21  SSLの機能を説明したものはどれか。
ア TCPとアプリケーションとの間において、クライアントとサーバ間の認証をHadnshakeプロトコルで行う。
イ 電子メールに対して、PKIを適用するためのデータフォーマットを提供する。
ウ ネットワーク層のプロトコルであり、IPパケットの暗号化及び認証を行う。
エ ログインやファイル転送の暗号化通信を行う目的で、チャレンジレスポンスの仕組みを用いてrコマンド群の認証を行う。  (平成17年度SU午前)
ウはIPsecである。正解は、ア。

もう一問。
問67 セキュリティプロトコルSSLの特徴はどれか。
ア SSLはWebサーバだけで使用されるセキュリティ対策用のプロトコルで,ネットワーク層に位置するものである。
イ SSLを利用するWebサーバでは,そのFQDNをディジタル証明書に組み込む。
ウ 個人認証用のディジタル証明書は,PCごとに固有のものを作成する必要がある。
エ 日本国内では,政府機関に限り128ビットの共通鍵長のディジタル証明書を取得申請できる。
(H18秋FE午前問67より)

アだが、SSLはトランスポート層。
正解は、イ。FQDNとは、www.example.comなどのように、ドメイン名だけでなく、ホスト名も含まれたもの。証明書はホスト(サーバ)単位で発行される。
FQDNに関しては、以下を参照いただきたい。
http://nw.seeeko.com/archives/50878562.html

4.SSLとTLS
(1)SSLとTLSの違いは?
SSL(Secure Sockets Layer)は、ネットスケープコミュニケーションズ社が開発したプロトコルです。それをRFCとして標準化するとともに、機能を付加したものがTLS(Transport Layer Security)です。両者の互換性はないが、情報セキュリティスペシャリスト試験においては、SSL/TLSというくくりで、両者は同じものと考えてもいいでしょう。
ただ、2014年にはSSLv3に重大な脆弱性が見つかり、SSLを無効にしてTLSを使うようにアナウンスする企業がいくつか見られました。今後も主軸はTLSになりますが、SSLという名称が広まっているため、SSLと表現しながら、実際にはTLSを使っているという状態になることでしょう。

(2)SSLとTLSのポート番号
プロトコルによってポート番号は変わります。
SSL/TLSの代表といえばhttps(HTTP over SSL/TLS)です。ここで利用する場合、SSLでもTLSでもどちらもポート番号は443です。
情報処理技術者試験(ネットワークスペシャリスト)の過去問でも問われたPOP3S(POP3 over SSL) のポート番号は、995です。

SSLとTLSについては、IPAの以下の資料が詳しいので、時間があるときにご確認ください。
https://www.ipa.go.jp/files/000045645.pdf

日頃から何気なく使っているhttps通信。ネットサーフィンをしていると、httpなのかhttpsなのかどうかも意識しないことが多い。
実際には、以下のようにとても複雑な処理が行われている。
ただ、これらの処理は自動で行われているので、私たちが意識することはない。
大雑把に言うと、
①サーバ証明書で、サーバの正当性を確認する
②証明書の公開鍵を使ってサーバとクライアントの共通鍵を作り、その鍵で暗号化通信をする。
H19春 初級システムアドミニストレータ試験 午後 問4
〔SSL通信の流れ〕
(1)SSL通信の初期設定
処理の流れ(1)を契機に,SSLによる通信が始まる。最初に,利用者のブラウザとWebサーバの間で暗号化やメッセージダイジェストの方式を決める。
SSLによる暗号化では,公開鍵暗号方式と共通鍵暗号方式を組み合わせた方式が用いられる。
① 利用者のブラウザは,“https://"で始まるURLが指し示すページにアクセスし, WebサーバにSSL通信の開始を知らせる。
② SSL通信の開始を知らされたWebサーバは,利用者のブラウザに,今回使用する暗号方式と[ a ]証明書を送信する。
③利用者のブラウザは,あらかじめ登録されている[ b ]証明書を用いて,送信された[ a ]証明書が有効であることを確認する。
④ 利用者のブラウザは, [ a ]を用いて乱数情報を暗号化してWebサーバに送信するとともに,その乱数情報を用いて[ c ]を生成する。
⑤Webサーバは,④で送信され,暗号化された乱数情報を[ d ]を用いて復号し, [ c ]を生成する。
(2)利用者メッセージの送受信
SSL通信の初期設定が完了すると,利用者のブラウザとWebサーバの間では, [ c ]を用いて通信内容の暗号化が行われる。さらに,メッセージダイジエストを用いて,受信した通信内容が途中で改ざんされていないことを確認する。
(3)SSL通信の終了
処理の流れ(7)を契機に,利用者のブラウザが“http://"で始まるURLが指し示すページにアクセスを開始すると,WebサーバはSSL通信を終了する。
これはなかなか難しい問題である。
でも、答えは基本的なキーワードだ。

正解は以下。
a  Webサーバの公開鍵
b ルート認証局の公開鍵
c  Webサーバと利用者の共通鍵
d  Webサーバの秘密鍵

図にすると、こんな感じ
SSL通信のシーケンス_情報セキュリティスペシャリスト試験

違う過去問でみてみましょう!
SSLの通信シーケンスはSSLハンドシェイクプロトコルとSSLレコードプロトコルに分けられる。SSLハンドシェイクプロトコルでは,サーバの正当性確認と通信を行うための鍵交換を行う。【下の手順(1)】
一方,SSLレコードプロトコルでは,実際に暗号化した通信を行う。【下の手順(2)(3)】
このシーケンスに関して,以下の過去問(H18NW午後Ⅰ問3)に詳しく解説されている。
図2に、SSL通信のシーケンスを示す。


          図2 SSL通信のシーケンス(概略)
 図2中の(ii)で,SSL-VPN装置は,自ら認証してもらうために,サーバ証明書を送信する。[ ウ ]は,サーバ証明書を発行したCA局の証明書を保持しているので,この③証明書に含まれる鍵を使って,サーバ証明書の正当性を検証する。(iii)はオプション処理で,クライアント証明書による認証が要求されていたときに実施される。(iv)によって,モバイルPCとSSL-VPN装置の双方で,共通鍵が生成される。

設問1 本文中の[ ウ ]に入れる適切な字句を答えよ。
設問3 SSLの動作について、(1),(2)に答えよ。
  (1)本文中の③「証明書に含まれる鍵」の種類を答えよ。
  (2)共通鍵が利用される場所を、図2の(ⅰ)~(ⅴ)で答えよ。また、共通鍵を利用することによる利点を、15字以内で述べよ。
(H18NW午後1問3)
若干修正はしているが、ほぼ原文の問題。
SSL-VPNを学習する良い問題ですので、時間があるときに全ての問題を解いてほしい。
ちなみに、[ ウ ]には、図中の言葉が入る。

【解答例】
設問1 モバイルPC
設問3 (1) 公開鍵
  (2) ⅴ
    ・暗号と復号が高速にできる。
    ・演算処理が高速にできる。

別の過去問(H25年NW午後Ⅰ問1)には、以下の穴埋め出題がある。
SSLには,  PCとSSL-VPN装置間において,  SSLセッションを確立させるためのハンドシェイクプロトコルが規定されている。ハンドシェイクプロトコルでは,[  ア ]メッセージによって暗号化アルゴリズムを決定し,公開鍵による電子証明書の確認後,共通鍵での暗号化と,メッセージ認証コードのチェックを行い,  SSLセッションを確立する。
SSLハンドシェイクのうち,暗号化アルゴリズムを決定するためのメッセージが問われています。正解は「HELLO」。
SSLのハンドシェイク時には,クライアントからサーバにClientHelloメッセージを送ります。この中には,クライアントが利用可能な暗号化アルゴリズムの一覧を含みます。ClientHelloを受け取ったサーバは,自身が利用可能な暗号化アルゴリズムのリストと照合し,どの暗号化アルゴリズムを利用するかを決定します。決定した暗号化アルゴリズムは,ServerHelloメッセージによって,サーバからクライアントに通知します。

IPsecには、トランスポートモードとトンネルモードの2つの通信モードがある。
トランスポートモードは端末間でIPsec通信を行うのに対し,トンネルモードはVPN装置間でIPsec通信を行う。
主流はトンネルモード。なぜなら,LANとWANの境界にあるルータ(VPN装置)にIPsecの設定をすれば,LAN内のPCにIPsecの設定を個別にする必要がないからだ。

では、以下の問題を見てみよう。
「ゲートウェイ間の通信経路上だけではなく、送信ホストと受信ホストとの間の全経路上でメッセージが暗号化される(H23SC春午前問2)」IPsecの通信モードは何か?

今回の正解は「トランスポートモード」。
一方のトンネルモードに関して過去問では、「トンネルモードで暗号化すると、元のヘッダまで含めて暗号化される(H18SV 午前問題 問23より)」と述べられている。


IPsec通信の通信手順は以下である。
大きく3つと考えてよい。
IKEが2つ(フェーズ1とフェーズ2 )と,実際の暗号化通信一つの合計3つです。

IKEを使った鍵交換
インターネット上で安全に通信をするために,お互いを認証(例えば事前共有鍵(pre-shared-key))し,暗号方式(例えば3DESやAES )を決め,鍵を交換する。フェーズ1とフェーズ2の2つのフェーズからなる。

 フェーズ1
  ISAKMP SAと呼ばれる制御用のSAを作る。このSAをフェーズ2が利用する。
  ※SA(Security Association)とは,セッションと考えればよい。

 フェーズ2
  IPsec SAと呼ばれる通信用のSAを作る。
  このSAを次で説明するIPsec通信が使用する。

c2f058cb

なんか面倒ですね。フェーズ1をなしにして,フェーズ2だけでいいのでは?




フェーズは1つでもいいのですが,より高速にするためにあえて分ける。
(ややこしいので,解説はこのレベルで止めさせていただく)

ESPプロトコルを使ったIPsecの通信
鍵交換のフェーズ2で決めた暗号化(例えば3DESやAES)や認証の方式(例えばMD5やSHA-1)を用い,作成した鍵を使ってIPsecSAにてIPsecの通信をする。

通信の暗号化をするためのセキュリティ関連のプロトコルについて紹介する。
かなり色々あるが、代表的なのは、以下の2つだ。
IPsec
SSL

それ以外にはたくさんあり、たとえば以下
SSH
sftp、ftps
scp

過去問を解いてみよう。
問56 セキュリティ関連のプロトコルに関する記述のうち、適切なものはどれか。

ア IPSecは、PPPの認証用プロトコルの一つである。
イ PAPは、LAN間接続やダイヤルアップ接続を行う際のユーザ認証に、暗号を使用したプロトコルである。
ウ PPPは、暗号技術を導入してセキュリティを強化した電子メールシステムのプロトコルである。
エ SSLは、Webサーバとブラウザ間でデータを暗号化して転送する場合に使用することができるプロトコルである。
(平成19年度SW午前 より)
不正解の選択肢も、なぜ間違っているかを考えよう。正解はエ。

1.SSHとは
過去問ではSSHに関して、「リモートログインやリモートファイルコピーのセキュリティを強化したツール及びプロトコル(H20秋AP午前-問76)」と述べられています。ポート番号は22番です。
かなり前かもしれないが、サーバへの接続はTelnetが多かった。しかし、Telnetは暗号化されていないため、SSHで行うことが今では多い。

SSHはUNIX系のコマンドから来たものであり、シェルなのでコマンド操作を含む色々なことができる。
過去問を見てみよう。
問20 暗号化や認証機能をもち,リモートからの遠隔操作の機能をもったプロトコルはどれか
ア IPsec
イ L2TP
ウ RADIUS
エ SSH (H20SC秋午前2)
正解はエ

では、少し難しい問題
しかし、IDとパスワードによる認証を行っていても,このようなログイン画面が攻撃者によって見つけられた場合,IDを固定して,考えられる全てのパスワードを試行する,[ a ]が行われる可能性がある。この攻撃によって,管理者権限が奪われると大きな被害になるので,Q主任はサイト担当者と検討し,インターネットから管理者用ログイン画面にアクセスする場合は,  SSHを利用することにした。SSH利用時には公開鍵認証でログインするので,[ b ]がなければ,Webサーバヘの[ a ]を成功させることは困難である。
なお,サイト担当者がミドルウェアの管理画面にアクセスする際には,サイト担当者のPCからWebサーバへのSSH接続時に、②サイト担当者のPCの任意の通信ポートとミドルウェアの管理画面が動作している通信ポートとの間を暗号通信させることにした。

設問1
(3)本文中の[ a ]に入れる攻撃手法の名称を15字以内で答えよ。
(4)本文中の[ b ]に入れる適切な字句を5宇以内で答えよ。
(5)本文中の下線②は,SSHの何と呼ばれる機能を示しているか。15字以内で答えよ。
(H24SC秋午後2問1)
正解は以下
(3)ブルートフォース攻撃
(4)秘密鍵
(5)ポートフォワーディング 
最後について、補足する。
RDP(3389)やPOP3(110)、FTP(21)などのサービスを利用しようにも、外部からは該当ポートが空いていない場合がある。たとえば、TeraTermのポートフォワーディング(SSH転送)を使うと、SSHの通信を使って任意のポートに接続替えをしてくれる。便利といっちゃ便利であるが、どちらかというと、このSSH通信のIDパスワードを盗まれると、FWをすり抜けて通信できるため、リスクの方が高いと思っている。
SSH_情報セキュリティスペシャリスト試験

2.SSHのクライアント認証方式
情報セキュリティスペシャリストの過去問でよく問われる。
通常よく使われるパスワードと、クライアント証明書の2パターンがある。

基本情報の過去問(H26秋FE午後問1)を見てみよう。
設問4 次の記述中の[ d ]に入れる正しい答えを,解答群の中から選べ。
 SSHサービスがクライアントを認証する方式には,パスワード認証方式と公開鍵認証方式がある。A社は公開鍵認証方式を採用した。
 公開鍵認証方式では,秘密鍵で作成した署名が,対応する公開鍵で検証できることを利用して,次のようにクライアントを認証する。
(1)クライアントは,秘密鍵を使って作成した署名と,その秘密鍵に対応する公開鍵をサーバに送る。
(2)サーバは,(1)の公開鍵がサーバに登録されていることを確認し,公開鍵で(1)の署名を検証する。
(3)検証に成功すれば,クライアントがサーバに登録されている公開鍵に対応する秘密鍵をもっていることが証明されるので,サーバは,クライアントを認証する。
 このように,公開鍵認証方式では,クライアントがサーバのSSHサービスを利用する際に,パスワードや[ d ]をネットワーク上に流す必要がない。
 
解答群
 ア 公開鍵
 イ 秘密鍵
 ウ 秘密鍵及び公開鍵

正解は、簡単である。イの秘密鍵だ。

以下は情報セキュリティスペシャリスト試験の過去問(H24SC秋午後1問1)である。ここでの「HTTPSを採用し、その上でのフォームを用いた利用者認証」が、先ほど述べた「パスワード」による認証だと思っていい(と思う)。設問では、「クライアント証明書」による「SSLのクライアント認証」と比較した利点が問われている。
 会員サイトは個人情報を扱うことから、①サーバ認証によるHTTPSを採用し、その上でのフォームを用いた利用者認証を行っている。例えば,ある会員がブラウザで会員サイトにアクセスしようとすると,利用者IDとパスワードによる利用者認証が求められ,認証に成功すると,会員サイトにアクセスできるようになる。クッキーの有効期限が切れるか,利用者がログアウトした後は,当該ブラウザから会員サイトにアクセスできなくなり,再び利用者認証を求められる。

設問2 本文中の下線①について, SSLのクライアント認証と比較した場合の,サーバ認証によるHTTPS通信上でフォームを用いた利用者認証を行う利点を,  25字以内で述べよ。

正解は、「利用者がクライアント証明書を用意する必要がない。」である。
このサービスは会員向けといえど、広く一般ユーザに提供しているサービスである。よって、その利用者にクライアント証明書を発行して認証するというのは、非現実的であろう。

電子メールの暗号化に関しては、IPAのサイトに「電子メールのセキュリティ」と題して記載がある。
このサイトでは、実際の画面を含めて詳しく説明されているので、時間があるときに確認してほしい。
http://www.ipa.go.jp/security/fy12/contents/smime/email_sec.html
11d7b807 

メールの暗号化といえば、確かAPOP、PGP、S/MIMEだったと思います。
違いが良く分かっていませんが。



APOPはメールを受信するときのパスワードを暗号化する仕組みで、メール本文は暗号化されない。
メールを暗号化するのはPGPとS/MIMEだね。
 整理して覚えましょう。

 ここでは、メールの暗号化技術であるPGPとS/MIMEについて説明する。

PGPとS/MIMEの特徴
 PGP(Pretty Good Privacy)とS/MIME(Secure Multipurpose Internet Mail Extensions)は、機密性(メールの暗号化)と完全性(メールの改ざん検知)、真正性(本人であること)を保つために、公開鍵暗号方式を利用したセキュリティ対策である。しかし、Windowsの標準メールソフトであるOutlook Expressで利用できないなどの理由から、日本での普及は遅れている。
 利用手順を簡単に紹介する。
【利用手順】
(i)ソフトのインストール
(ii)公開鍵と、秘密鍵を作成
(iii)公開鍵を相手に渡す。HPで公開してもよい。
(iv) 実際にメールを送受信する。(共通鍵暗号方式と公開鍵暗号方式のメリットを組み合わせたハイブリッド方式が利用される)

このページのトップヘ