HOME»情報処理安全確保支援士掲示板»令和3年 春期 午後2 大門2 問6(1)
投稿する
補足頂きありがとうございます。
私の説明では一部本設問に特化した部分が不足しておりました。
クライアントPCから秘密鍵の取り出し不可はWindowsの場合、
秘密鍵をインポートしたときに取り出せないように設定することが可能です。
証明書(公開鍵)についてはそういった取り出し不可にする設定はありません。
令和3年 春期 午後2 大門2 問6(1) [1064]
べるさん(No.1)
こちら解答は「秘密鍵を書き出しできないよう設定する」ですが、クライアント認証には、クライアントの公開鍵が格納されたデジタル証明書も使われると思い、「秘密鍵とデジタル証明書を持ち出せないように設定する」としてしまいました。
なぜ秘密鍵のみ持ち出しを制限すれば大丈夫なのか知りたいです。
よろしくお願いします。
なぜ秘密鍵のみ持ち出しを制限すれば大丈夫なのか知りたいです。
よろしくお願いします。
2023.03.29 15:04
pixさん(No.2)
★SC ダイヤモンドマイスター
公開鍵技術の根本に関わる概念です。
公開鍵技術で利用される鍵ペアの原則は
・公開鍵
不特定多数に公開されてもよい
ネットワークに流してもよい
PGPなどの場合はむしろ積極的に知られた方がよい
・秘密鍵
絶対に他人に知られてはいけない
ネットワークに流してはいけない
格納された機器から取り出してはいけない
です。
以上の原則にのっとり
・公開鍵暗号
・デジタル署名
・公開鍵認証
は安全な運用が担保されています。
公開鍵技術はSCでの必須知識なので、再度学習することをお勧めします。
公開鍵技術で利用される鍵ペアの原則は
・公開鍵
不特定多数に公開されてもよい
ネットワークに流してもよい
PGPなどの場合はむしろ積極的に知られた方がよい
・秘密鍵
絶対に他人に知られてはいけない
ネットワークに流してはいけない
格納された機器から取り出してはいけない
です。
以上の原則にのっとり
・公開鍵暗号
・デジタル署名
・公開鍵認証
は安全な運用が担保されています。
公開鍵技術はSCでの必須知識なので、再度学習することをお勧めします。
2023.03.29 15:15
べるさん(No.3)
ありがとうございます。デジタル証明書は公開鍵が格納されているので、むしろ配布するものでした。。。
2023.03.29 15:22
GinSanaさん(No.4)
★SC ブロンズマイスター
P18の要件2で、業務での個人所有機器の使用禁止をやりたいわけで、要は個人所有機器でクライアント認証をしたくない、ということ
になる。
署名作成段階で、クライアント証明書のハッシュ値に対して秘密鍵で暗号化したのが署名であり、
クライアント証明書と署名をセットで相手先に送って、
相手先はクライアント証明書はそのままハッシュ化して、署名を公開鍵(ルート証明書に含まれるもの)で復号して、
平文のハッシュ値をさっきのハッシュ値と比較して一致しているかを検証する、
というのが流れなわけだが、
秘密鍵が持ち出せなければ少なくとも署名のハッシュが一致することはない。クライアント証明書を仮に持ち出しても、結局は
署名段階でハッシュを暗号化した結果が不一致になるわけで、クライアント証明書を持ち出させないのは本質的な解決、かつ最小構成の解決には
ならんですね。
になる。
署名作成段階で、クライアント証明書のハッシュ値に対して秘密鍵で暗号化したのが署名であり、
クライアント証明書と署名をセットで相手先に送って、
相手先はクライアント証明書はそのままハッシュ化して、署名を公開鍵(ルート証明書に含まれるもの)で復号して、
平文のハッシュ値をさっきのハッシュ値と比較して一致しているかを検証する、
というのが流れなわけだが、
秘密鍵が持ち出せなければ少なくとも署名のハッシュが一致することはない。クライアント証明書を仮に持ち出しても、結局は
署名段階でハッシュを暗号化した結果が不一致になるわけで、クライアント証明書を持ち出させないのは本質的な解決、かつ最小構成の解決には
ならんですね。
2023.03.29 15:30
pixさん(No.5)
★SC ダイヤモンドマイスター
>GinSanaさん
補足頂きありがとうございます。
私の説明では一部本設問に特化した部分が不足しておりました。
クライアントPCから秘密鍵の取り出し不可はWindowsの場合、
秘密鍵をインポートしたときに取り出せないように設定することが可能です。
証明書(公開鍵)についてはそういった取り出し不可にする設定はありません。
2023.03.29 15:36