情報処理安全確保支援士の勉強 情報セキュリティ対策4

昨日の勉強記録

午前2の過去問10問くらい
教科書 57ページ
午後1の過去問1問

教科書で学んだ内容は、以下の通り。
・暗号の基礎
VPN
IPsec
SSL/TLS



■暗号の基礎
現在広く使用されている暗号方式を分類すると、その仕組みによって共通鍵暗号方式、公開鍵暗号方式、ハイブリッド方式がある。

共通鍵暗号方式は、対象鍵暗号方式とも秘密鍵暗号方式とも呼ばれる。
共通鍵暗号方式は、ストリーム暗号とブロック暗号に分けられる

ストリーム暗号
・キーストリームと呼ばれる疑似乱数を暗号鍵として使用する
・ブロック暗号より処理を単純化できるため、処理速度が速い
・暗号化してもデータサイズが増加しないため、通信での利用に適している

ブロック暗号
・ブロック単位で暗号処理を行うため、ブロックサイズ分のデータが揃うまで処理が開始できない。そのため待ち時間が発生する可能性がある。
・ストリーム暗号よりも処理が複雑になる

ブロック暗号では、暗号強度を高めるため前のブロックの暗号処理の結果を用いて次のブロックの暗号化を行っている。

・ECB
CBC
・CFB
・OFB

CRYPTREC:電子政府における調達のために推進すべき暗号リスト

ハッシュ関数
・衝突発見困難性
・第2現像計算困難性
・現像計算困難性

上から順に困難となる。
ハッシュ関数はメッセージ認証、ワンタイムパスワードの生成、ディジタル署名などに広く用いられている

MAC
・CMAC
・HMAC

フィンガーポイント
ディジタル証明書や公開鍵、メールなどの電子データが改ざんされていない事を証明するために使用するデータであり、
ハッシュ関数を用いて対象となる電子データから生成する。

Diffie-Hellman鍵交換アルゴリズム
離散対数問題が困難である事を安全性の根拠にする

VPN
特になし

IPsec
・パケットをインターネット層でカプセル化し、暗号化する
・上位層のアプリケーションに依存せずに暗号化通信が可能
VPNゲートウェイ製品などを用いた拠点間通信によるIPsecVPNでは、ユーザは暗号化通信を行っていることを意識する必要が無い
IPv4IPv6のどちらでも利用する事ができ、IPv6ではIPsecの実装が必須となっている

IPsecVPNにおける2つの暗号化モード
・トランスポートモード
・トンネルモード

IPsecによって提供される機能
・発信元アドレス、宛先アドレス、宛先ポート番号、プロトコル種別などによって、IPsecを使用するか否か使用する機能を制限する事ができる
・メッセージ認証コード(MAC)によって通信データの改ざんの有無を確認し、完全性を保証する機能
MACを用いて、データ送信元の正当性を確認する機能
・通信データの重複検知機能によって、リプレイアタックを防ぐことが出来る
・通信データの暗号化機能

IPsecを構成するプロトコルや機能の概要
SPDIPsecであらかじめパケットの処理に関するルールを登録しておくデータベース
SA:IPsecにおける論理的なコネクション。ISAKMP SAとIPsec SAがある。

AH:通信データの認証に用いられるプロトコル。通信データを暗号化する機能は無い
ESP:通信データの認証と暗号化の両方の機能を提供するプロトコル

・IKE
SAの作成、暗号化に用いる鍵の交換などに使用するプロトコル

・IKEv1
IKEv1で使用可能な通信相手の認証方法
・事前共有鍵認証
・ディジタル証明書認証
公開鍵暗号認証
・改良型公開鍵暗号認証

ISAKMP SAの作成にはメインモードかアグレッシブモードが使用される
IPsec SAの作成にはクイックモードが使用される

・IKEv2
動的に設定されるIPアドレスに標準で対応しているほか、IKEv1の仕様を複雑にする要因となっている各種の拡張技術を取り込みつつ、仕様を明確かつ簡潔にしている。

IKEv2では次の2つのSAを用いる。
・IKE_SA:IKEv1のISAKMP SAに相当するもの
・CHILD_SA:IPsec SAに相当するもの

IKEv2では通信相手を認証する方式として次の3種類がある。
・事前共有鍵認証方式
RSAディジタル署名認証方式
・DSSディジタル署名認証方式

SSL/TLS
・アプリケーション層とトランスポート層の間で暗号化が行われる
・ディジタル証明書を用いてサーバ、クライアントの正当性を相互に認証する
MACによるメッセージ認証を行う

SSL/TLSプロトコル構造
・Recordプロトコル
・handshakeプロトコル
・Change Cipher Specプロトコル
・Alertプロトコル
・Application Dataプロトコル


HSTSは、WebサイトがHTTPSでアクセスしたブラウザに対して、当該ドメインへの次回以降のアクセスにおいて「max-age」で指定した有効期限までHTTPSの仕様を強制する機構