2015/11/12 情報セキュリティスペシャリスト)認証 備忘録
ベーシック認証
ID,PWが平文で送られる。通信盗聴されると、なりすましされてしまう。
ダイジェスト認証
PWを暗号化して送信する。平文ではないので盗聴されてもパスワード自体はわからない。ただ、盗聴された場合、暗号された文章をそのまま使うことでログインされてしまう。(リプレイアタック)
リプレイアタック
盗んだパスワード、暗号鍵をそのまま送信。なりすます。前述のとおり暗号文をそのまま送信するため暗号化していてもログインが可能。リプレイアタックを防ぐにはワンタイムパスワードが必要。
否認防止機能
何かをした後に、その内容を否定出来ないようにする機能。ECサイトのように、購入後「自分買ってません」が出来ないようにする機能。相手の電子署名を格納することで相手からの通信があったことを証明する。
CRYPTREC
政府のプロジェクト名称。暗号技術を利用する際の「推奨技術」を挙げている。
耐タンパー性
不正防止の仕組み。例えば光がメモリに当たるとメモリ内容が消える。暗号化により解読不能にする。メモリ素子を見せない。など。。
この性質がないと例えば、ICチップが行う処理の消費電力、処理時間から推測してICチップの内容を類推でてきてしまう。
セキュリティって難しい。