HOME»情報処理安全確保支援士掲示板»H28 秋 午後1問1 設問2(2)
投稿する
H28 秋 午後1問1 設問2(2) [0720]
もさもささん(No.1)
問題
”SSHのログイン認証をパスワード強度に依存しない方法に設定変更した”
正答
”パスワード認証を無効化し、公開鍵認証を使用する”
デジタル証明書を使用する、と回答したのですが、公開鍵認証という名称はデジタル証明書(SSL証明書)による認証と捉えて良いのでしょうか?
証明書や鍵が絡む認証の部分で用語や仕組みが自分の中であいまいです。
”SSHのログイン認証をパスワード強度に依存しない方法に設定変更した”
正答
”パスワード認証を無効化し、公開鍵認証を使用する”
デジタル証明書を使用する、と回答したのですが、公開鍵認証という名称はデジタル証明書(SSL証明書)による認証と捉えて良いのでしょうか?
証明書や鍵が絡む認証の部分で用語や仕組みが自分の中であいまいです。
2021.09.23 13:27
雲霧さん(No.2)
デジタル証明書を使用する、はよいと思います。
公開鍵証明書を使うことになるので表現の違いだけかと。
一方、後半のSSL証明書の下りは間違いかなと思います。
SSL証明書はサーバ側が保有して、サーバ認証でサーバの正当性の証明に使われ、別名はサーバ証明書です。
SSH接続する際のクライアント側が例えば個人のPCだとすると、公開鍵認証方式で接続するという表現はただしい一方で、SSL証明書を使用するという表現は誤りになるかと思います。
公開鍵証明書を使うことになるので表現の違いだけかと。
一方、後半のSSL証明書の下りは間違いかなと思います。
SSL証明書はサーバ側が保有して、サーバ認証でサーバの正当性の証明に使われ、別名はサーバ証明書です。
SSH接続する際のクライアント側が例えば個人のPCだとすると、公開鍵認証方式で接続するという表現はただしい一方で、SSL証明書を使用するという表現は誤りになるかと思います。
2021.09.23 14:22
わいわいさん(No.3)
すみませんが「デジタル証明書」は間違いです
デジタル証明書(単に証明書)とは
サーバと公開鍵の真正性を証明するために、識別情報と公開鍵に認証局による
デジタル署名が付与されたものを指します
SSHのログインで使用する鍵ペア(秘密鍵・公開鍵)は単なる鍵でデジタル署名
されていませんのでデジタル証明書ではありません
一般的に以下の3つは同じ証明書のことを指す名称です
・公開鍵証明書
・デジタル証明書
・SSL証明書(TLS証明書)
SSHでの認証方式は以下の2つです
・パスワード認証
・公開鍵認証
これらを区別する必要があります
デジタル証明書(単に証明書)とは
サーバと公開鍵の真正性を証明するために、識別情報と公開鍵に認証局による
デジタル署名が付与されたものを指します
SSHのログインで使用する鍵ペア(秘密鍵・公開鍵)は単なる鍵でデジタル署名
されていませんのでデジタル証明書ではありません
一般的に以下の3つは同じ証明書のことを指す名称です
・公開鍵証明書
・デジタル証明書
・SSL証明書(TLS証明書)
SSHでの認証方式は以下の2つです
・パスワード認証
・公開鍵認証
これらを区別する必要があります
2021.09.23 15:31
受験生さん(No.4)
パスワードを無効化するという記述がまずないといけません。公開鍵認証を有効にしたところで、パスワード認証が有効だとそちらが利用できてしまうので意味がありません。
「デジタル証明書を使用する」という表現がとても正しいわけではありませんが、『完全に間違ってるわけでもありません』
間違ってると言ってる人がいますが、SSHにもCA認証があるので、クライアントの発行した公開鍵をCAに署名してもらって、それをサーバに登録しておき、接続時にクライアントが送信した公開鍵と署名の内容をサーバがチェックすることがありえます。SSHにおけるCA認証では、秘密鍵の漏洩時に証明書を無効にすることができたり、有効期限を指定できます。
ちなみに公開鍵認証の仕組みは、「サーバに登録された公開鍵の対になる秘密鍵を接続するクライアントが保有しているか」を検証する認証方法です。クライアントが秘密鍵と公開鍵のペアを発行し、公開鍵をサーバに登録します。クライアント接続時、サーバは共通鍵もしくはDH鍵交換に用いる乱数を登録された公開鍵で暗号化してクライアントに送信します。クライアントが秘密鍵を持っていないとこの共通鍵もしくは乱数を復元できないので通信できない→真正性を担保できるという仕組みです。
「デジタル証明書を使用する」という表現がとても正しいわけではありませんが、『完全に間違ってるわけでもありません』
間違ってると言ってる人がいますが、SSHにもCA認証があるので、クライアントの発行した公開鍵をCAに署名してもらって、それをサーバに登録しておき、接続時にクライアントが送信した公開鍵と署名の内容をサーバがチェックすることがありえます。SSHにおけるCA認証では、秘密鍵の漏洩時に証明書を無効にすることができたり、有効期限を指定できます。
ちなみに公開鍵認証の仕組みは、「サーバに登録された公開鍵の対になる秘密鍵を接続するクライアントが保有しているか」を検証する認証方法です。クライアントが秘密鍵と公開鍵のペアを発行し、公開鍵をサーバに登録します。クライアント接続時、サーバは共通鍵もしくはDH鍵交換に用いる乱数を登録された公開鍵で暗号化してクライアントに送信します。クライアントが秘密鍵を持っていないとこの共通鍵もしくは乱数を復元できないので通信できない→真正性を担保できるという仕組みです。
2021.09.23 22:32
わいわいさん(No.5)
No.4様
間違いご指摘頂きありがとうございます
CA認証は比較的新しい機能のため、私の方で存じておりませんでした
改めてまとめますと
SSHの認証方法として
・パスワード認証(昔から)
・公開鍵認証(昔から)
・CA認証 (ここ5年くらい前から広まり始めた)
の3つがありますが、問題が作成された平成28年当時では
CA認証がまだマイナーだったと思われます
間違いご指摘頂きありがとうございます
CA認証は比較的新しい機能のため、私の方で存じておりませんでした
改めてまとめますと
SSHの認証方法として
・パスワード認証(昔から)
・公開鍵認証(昔から)
・CA認証 (ここ5年くらい前から広まり始めた)
の3つがありますが、問題が作成された平成28年当時では
CA認証がまだマイナーだったと思われます
2021.09.23 23:38
もさもささん(No.6)
みなさま、本当にありがとうございました。
理解が深りました。秋試験までスパートをかけていきます!
理解が深りました。秋試験までスパートをかけていきます!
2021.09.24 01:31