2005年11月22日

テクニカルエンジニア(情報セキュリティ)サンプル問題で、SSLを憶える

どういう問題が出題されるのか、まだ不明なテクニカルエンジニア(情報セキュリティ)試験であるが、午後問題には、サンプル問題が公開されている。順次、解いてきているのだが、今回は、「会員認証の検討」の部分。

手元の入門書が暗号化に関連したものであったため、前半のSSLの部分しか明確にはならなかった。後半はクッキーについてだが、ここも、改めてマスターしたい。

さて、SSLについてだが、一言で表せば「ブラウザとWebサーバ間のパケットの暗号化」ということになるだろう。実際には、HTTP以外にも、SMTPやFTPなどでも利用されるらしい。ただ、いつも目に触れるのは、ほとんどHTTP、つまりブラウザとWebサーバ間ということになる。

このしくみ、よく調べてみると、結構複雑なことをしている。前半、公開鍵方式で共通鍵の交換をする。それからデータのやり取りを高速な共通鍵で行うというものだ。共通鍵は、そのときにのみ使われるものだから、安全性は比較的高い。

問題文にある「サーバ認証」は、この相手側であるサーバが「本物かどうか」を確かめる仕組みである。提示された「公開鍵」を「認証局」が正規のものとして認証することで、会員は安心して情報をサーバに送ることができるわけである。そうでなくては、ECで使われる個人情報を、偽のサイトに渡す、いわゆる「フィッシング」に遭うことになる。

また、ベーシック認証という言葉も出てくるが、これはID・パスワードのセットで、本人を認証する仕組みである。大きな取引となる企業間では、クライアントも同様に認証局による認証まで行うが、この例では、そこまではしていない。ただし、ID・パスワードは盗聴のリスクを伴うため、SSLによる暗号化を行っている。

ちなみに、このSSLだが、無線LANによる社員のリモートアクセスの際にも使われることになっている。WEPの安全性に問題があるため、ここでも使われているわけである。

この技術は、試験だけでなく、日常的にもよく見るものなので、その意味が理解できることで、ページ設計意図も分かってくる。このあたり、勉強のもうひとつの楽しみともいえる。ちなみに、このあたりは情報セキュリティアドミニストレーター試験でも知っておくべき内容だろう。ただし、サーバとの詳しいパケット交換のフローまでは不要だが。
posted by tamaso at 01:21| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。