2005年11月22日

テクニカルエンジニア(情報セキュリティ)サンプル問題で、SSLを憶える

どういう問題が出題されるのか、まだ不明なテクニカルエンジニア(情報セキュリティ)試験であるが、午後問題には、サンプル問題が公開されている。順次、解いてきているのだが、今回は、「会員認証の検討」の部分。

手元の入門書が暗号化に関連したものであったため、前半のSSLの部分しか明確にはならなかった。後半はクッキーについてだが、ここも、改めてマスターしたい。

さて、SSLについてだが、一言で表せば「ブラウザとWebサーバ間のパケットの暗号化」ということになるだろう。実際には、HTTP以外にも、SMTPやFTPなどでも利用されるらしい。ただ、いつも目に触れるのは、ほとんどHTTP、つまりブラウザとWebサーバ間ということになる。

このしくみ、よく調べてみると、結構複雑なことをしている。前半、公開鍵方式で共通鍵の交換をする。それからデータのやり取りを高速な共通鍵で行うというものだ。共通鍵は、そのときにのみ使われるものだから、安全性は比較的高い。

問題文にある「サーバ認証」は、この相手側であるサーバが「本物かどうか」を確かめる仕組みである。提示された「公開鍵」を「認証局」が正規のものとして認証することで、会員は安心して情報をサーバに送ることができるわけである。そうでなくては、ECで使われる個人情報を、偽のサイトに渡す、いわゆる「フィッシング」に遭うことになる。

また、ベーシック認証という言葉も出てくるが、これはID・パスワードのセットで、本人を認証する仕組みである。大きな取引となる企業間では、クライアントも同様に認証局による認証まで行うが、この例では、そこまではしていない。ただし、ID・パスワードは盗聴のリスクを伴うため、SSLによる暗号化を行っている。

ちなみに、このSSLだが、無線LANによる社員のリモートアクセスの際にも使われることになっている。WEPの安全性に問題があるため、ここでも使われているわけである。

この技術は、試験だけでなく、日常的にもよく見るものなので、その意味が理解できることで、ページ設計意図も分かってくる。このあたり、勉強のもうひとつの楽しみともいえる。ちなみに、このあたりは情報セキュリティアドミニストレーター試験でも知っておくべき内容だろう。ただし、サーバとの詳しいパケット交換のフローまでは不要だが。
posted by tamaso at 01:21| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/9647412

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。