デジタル証明書の基礎知識
http:// www.enkichen.com/2016/02/26/digital-certificate-based/
前に「研究ノートに署名するのiOS開発用証明書とコード、」ボーエンは、より良いデジタル証明書と関連する知識が集約された証明書の特性を理解するためには、関連する知識を署名のiOS開発用証明書とコードを導入し、要約。
私たちは、デジタル証明書の話をする前の話をしなければならない非対称暗号化アルゴリズムをしてダイジェストアルゴリズムコアが非対称暗号化アルゴリズムで、そのうちの、基礎となるデジタル証明書は、暗号化と復号化の様々なアルゴリズムであるため、(非対称暗号化、ダイジェストアルゴリズム)。ここでは、暗号化方式は、2つのカテゴリに分けることができます。一つは、単一の暗号化キーも対称暗号化と呼ばれることもある(秘密鍵暗号方式)、というクラスがあり、二重鍵暗号(公開鍵暗号)も非対称暗号化と呼ばれることもあります。かつての暗号化と復号化の処理は異なるパスワードを使用して、後者の暗号化と復号化をパスワードの同じセットを使用しています。のは、対称暗号化、非対称暗号化を見て、彼らはデジタル証明書で使用されているか、ダイジェストアルゴリズムをしてみましょう。
対称暗号化
対称暗号化(とも呼ばれる秘密鍵)暗号アルゴリズム復号化手段と同じキーを使用して暗号化。時には伝統的な暗号化アルゴリズム、復号鍵は、暗号化鍵から推測することができる一方、復号鍵から推測することができ、暗号化キーと呼ばれます。最も対称アルゴリズムでは、暗号化と復号鍵は、暗号化アルゴリズムはまた、秘密鍵アルゴリズムまたは単一鍵アルゴリズムとして知られているように、同じです。
このアルゴリズムを適用するには、キーに同意し、セキュリティ通信の前に、送信者と受信者が必要です。セキュリティ対称アルゴリズムは、プライバシーは、キーの通信のために不可欠であるので、誰もが、それらに送信または受信したメッセージを復号化できることを、キー、キーリーク手段に依存します。対称暗号化アルゴリズムは、アルゴリズム開示された特徴、計算、高速暗号化、暗号化効率が高く、少量です。多くの対称暗号化アルゴリズムがありますが、それはそれらの多くの中心部に広く使われている暗号化プロトコルで、高効率によるものです。欠点は、両当事者が同じ鍵を使用して、セキュリティを保証することはできません、です。
一般的な対称暗号化アルゴリズム
-
DES:データ暗号化規格(DES、データ暗号化規格)キーの使用に基づくブロック暗号を用いて暗号化されている56ビットの鍵、アルゴリズムは、それが含まれているため、機密設計要素を対称アルゴリズムを、比較的短い鍵長冒頭で議論がある一方で、バックドアは、米国国家安全保障局(NSA)を含有すると疑われる、DESは今、それは簡単で、その結果、56ビットの鍵が短すぎる使用する主な理由は、安全な暗号化アルゴリズムと見なされていませんこれは、クラックされています。実用のために必要なセキュリティを提供するために、導出アルゴリズム3DES、DES暗号化に使用することができ、理論的な攻撃がありますが、3DES。
-
AES:高度暗号化標準(英語:高度暗号化規格、略称:AES)、オリジナルのDESを置き換えるために使用される標準は、広く分析し、マルチ、2006年に世界中で使用、高度暗号化標準暗号化対称鍵となっていますされています最も人気のあるアルゴリズムの一つ。AES固定ブロック長は、128ビットである鍵長128、192または256ビットであってもよいです。
-
RC4:RC4暗号化アルゴリズムは、1987設計変数ストリーム暗号アルゴリズムクラスターの鍵長でRSA有名なトリオのトップ男ロナルド・リベストです。アルゴリズムの速度は10倍DES暗号化に到達し、非線形の非常に高いレベルを持つことができます。RC4は当初、企業秘密を保護するために使用されました。しかし、1994年9月には、そのアルゴリズムは、インターネット上に掲載された、もはや任意の企業秘密はありません。
-
IDEA:スイス、中国に住む若い学者が研究することであるとケリー有名cryptologistsはJ.Masseyは1990年に提案しました。これは、正式に1990年に発表し、将来的に強化しました。このアルゴリズムは、同じ対称鍵アルゴリズムに属しDESのトリプルDES、DESと同様のアルゴリズム、およびIDEAに基づいて開発されています。彼らはDES鍵が短すぎるというように、古くなっていると感じているため開発IDEAにも欠点があります。IDEAキーは128である限り、今後数年間でキーが安全でなければなりません。
非対称暗号化
;および暗号化と復号鍵がペアになっている公開鍵(公開鍵)と秘密鍵(PrivateKeyの):そして、対称暗号化アルゴリズムは、非対称暗号化アルゴリズムは、2つのキーが必要です。暗号化と復号に使用異なるキーの非対称暗号化アルゴリズムは、非対称暗号化は、公開鍵暗号、鍵ペアと呼ばれ、キーのいずれかが一般に公開され、誰もが、呼ばれるために得ることができます鍵は秘密鍵と呼ばれる、請求公開鍵は、プライベートです。
非対称暗号化機能
- 公開鍵、および秘密鍵に対応するだけのために。
- 公開鍵は公開され、そして抗パブリックプライベートキーで起動することはできません。
- 暗号文暗号化された秘密鍵は公開鍵のみで復号化することができますすることで、公開鍵で暗号化された暗号文は、秘密鍵缶で復号化することができますすることができます。
公開鍵は、公開鍵はほとんど不可能であるから秘密鍵を計算するためには、そう長くキーは十分な長さであるとして、唯一網羅を通じて、秘密鍵を把握することは極めて困難です。
非対称暗号化の主な目的
- 仲介攻撃を防止するための情報の機密性、:秘密鍵なしで復号化することができないため、公開鍵暗号を使用して平文を、受信者への送信は、そのための情報がのみ、秘密鍵の所有者を解読することができることを確認するために、他の人々は、プレーンテキストへのアクセスを欠いています。一般的に交換するために使用する方法
对称密钥。 - 防止改ざんや認証情報:秘密鍵の暗号化は、民間所有者明示認可期間を使用して、暗号文と暗号化された平文を許可し、受信者のみが暗号文解読の公開鍵を必要とすることにより、公開鍵は、一緒に送り出さ比較と承認は、我々は平文が途中で改ざんされているかどうかを判断することができ、同じ平文です。このメソッドは使用されています
数字签名。
一般的な非対称暗号化アルゴリズム
-
RSA:1977年は、3人の数学者のRivest、Shamir氏とエーデルマンは、非対称暗号化を達成することができ、アルゴリズムを考案しました。このアルゴリズムは、RSAアルゴリズムと呼ばれる、名前のそれらの3を使用しています。その後から今まで、RSAアルゴリズムが使用される最も広く「非対称暗号化アルゴリズム」となっています。長い場所のコンピュータネットワークなどとして、RSAアルゴリズムがある、と言っても過言ではありません。このアルゴリズムは、鍵が長く、非常に信頼性が高いと、難しくはクラックすることです。文書の開示によれば、現在最も長い亀裂RSAキーは768ビットです。換言すれば、以上768キーの長さは、(公表少なくとも誰)割れることはできません。その次の1024 RSA鍵基本的なセキュリティ、キー2048は非常に安全です。デジタル署名と鍵交換のために。このアルゴリズムは、特にインターネット上でのデータの伝送のために、最も広く使用されている公開鍵暗号化アルゴリズムです。
-
DSA:国家安全保障局(米国国家安全保障局、NSAによってデジタル署名アルゴリズム(デジタル署名アルゴリズム、DSA) )本発明は、デジタル署名の標準を持っています。DSAデジタル署名および認証では、送信者は受信者が署名の正当性を検証するために、送信者の公開鍵を使ってメッセージを受信し、ファイルやメッセージの署名に自分の秘密鍵を使用しています。ただ、DSAアルゴリズム、および鍵交換は、署名のみのために実行することができない、それはRSAの暗号化と復号化を使用することができないことを除いて、それははるかに高速RSAよりもあります。DSAアルゴリズムは、離散対数の計算から難易度のセキュリティに依存します。このアルゴリズムは、デジタル署名のために、データの暗号化には適用されません。
-
-Hellmanディフィー:安全な交差法KEY安全でないネットワーク共有を確保するための方法。1976年にホワイトフィールドとMartin HellmanはのDiffie-Hellman鍵交換プロトコル/アルゴリズム(のDiffie-Hellman鍵交換/協定と呼ばれる素晴らしい鍵交換プロトコル、提示アルゴリズム)。両方の対称鍵は、この方法を用いて決定することができるセキュアな通信を必要とし、この独創的なメカニズム。その後、暗号化および復号化キーを使用することができます。ただし、鍵交換プロトコル/鍵交換アルゴリズムを使用することができますが、ない暗号化と復号化メッセージに。双方は、他の対称鍵暗号化アルゴリズムの実際の動作暗号化と復号化メッセージを使用して、キーを使用することを決定しました。唯一の鍵交換アルゴリズム。
- ECC:楕円暗号化アルゴリズム(ECC)古典RSAと比較して、元々の両方1985年KoblitzおよびMillerにより提案公開鍵暗号方式であり、DSAおよび他の公開鍵暗号方式は、楕円暗号は、以下の利点を有する:160 RSAや楕円ビットキーセキュリティキー1024は同じであり、秘密鍵暗号化と復号化のスピード、ECCアルゴリズム、DSAに速くRSAよりも、小さなメモリフットプリント、低帯域幅要件、ECCアルゴリズムは、数学的な理論であります難解で複雑な、エンジニアリングアプリケーションで実現するのがより難しいが、その強度が比較的高いセキュリティユニットです。
非対称暗号化アルゴリズムは、世界で最も重要なアルゴリズムであってもよいし、それが今日のeコマース分野の基礎となるものです。非対称暗号化アルゴリズムは非常に堅牢であり、欠点は、暗号化と復号化時間のかかることであります。従って、実用上、多くの場合、対称暗号化と組み合わせて使用し、ダイジェストアルゴリズム。列は、エンティティが、対称鍵の交換の間にある場合、または署名されたメッセージ(デジタル署名)のハッシュ。
固定長のハッシュ結果は、ハッシュアルゴリズムと呼ばれる、データのために、一方向の数学関数を適用することによって得られます。
ダイジェストアルゴリズム
ダイジェストアルゴリズムは、ハッシュまたはハッシュ値として知られている魔法のアルゴリズムです。そして、暗号化キー(対称鍵または公開鍵)データ変換の異なるタイプ。ところで、数学的ハッシュ関数は、データと呼ばれるハッシュアルゴリズムに適用され、長さは通常256〜128との間にあるデジタル不可逆的な固定長の任意の長さのデータのブロックを変換します。同じハッシュ値を持つ二つのデータを見つけるためのチャンスが非常に小さくなるように生成されたハッシュ値の長さは、十分な長さでなければなりません。
ダイジェストアルゴリズムは、次の機能があります。
- 長いソーステキストとは異なる限り、計算結果は、異なる(または少数の機会)でなければなりません。
- 結果から(それはもちろん、ある、または他のエネルギーが保存されていない)ソースデータを起動することができませんが逆転しました。
共通ダイジェストアルゴリズム:
- MD5:RSAデータセキュリティ、MD5によって開発された一方向ハッシュアルゴリズムが広く使用されて、固定ビット値(通常は128)に異なる長さのパスワード演算のデータブロックを実行するために使用することができます。
- 1-SHA:DSA公開キーアルゴリズムと同様に、セキュアハッシュアルゴリズム1(SHA-1)もNIST FIPS、標準としてハッシュデータに含めることにより、NSAによって設計されています。これは、160ビットのハッシュ値を生成します。SHA-1は、デジタル署名を作成するために使用される人気のある一方向ハッシュアルゴリズムです。
- MAC(メッセージ認証コード):メッセージ認証コードキーを用いて一方向関数であり、ファイルまたはメッセージ認証システム、またはユーザとの間にそれらを使用することができ、それはメッセージ認証のための共通のHMAC(ハッシュキーであります列アルゴリズム)。
- CRC(巡回冗長検査):巡回冗長検査コード、シンプルで強力なエラー検出能力は、広くデータの検証では、様々な用途で使用されているので、CRCチェック。以下のシステムリソース、ハードウェアとソフトウェアで実現することができ、CRCが行われていない厳密な意味で良い(ハッシュアルゴリズムするデータ伝送エラー検出手段であるが、その役割と同じハッシュアルゴリズムについて、その帰属します)など。
コントラスト情報の一貫したソース限り、ソース・データが異なる必要があり得る概要を変更するかどうかをダイジェストアルゴリズム。通常、結果は、いわゆる、元のデータよりもはるかに短いため、「要約。」
アプリケーションのようなハッシュ値を生成するために、メッセージの送信者としてのシナリオ、および暗号化も、メッセージ自体と一緒にそれを送ります。同時に、受信者は、受信したメッセージにより、さらにハッシュ値を生成されたメッセージとハッシュ値を復号化し、次に2つのハッシュ値を比較しています。それらが同じである場合、メッセージは何も送信中に変更されていない可能性があります。
デジタル署名
デジタル署名は、非対称暗号化を適用するためのものであり、ダイジェストアルゴリズム、データの整合性と信頼性を確保するために、リリース後(アルゴリズム特性ダイジェスト)情報が改ざんされていないことを確認するために、だけでなく、(他人を改ざんからデータを防止することができます非対称暗号化アルゴリズムの特性);コラムなど、私たちはテキストの出版物の完全性を保証するために、公表され、中央の内容の改ざんを防止するために、いくつかのテキストの許可を公開する必要があり、テキストは指定された出版社によってリリースされたとき。だから、私たちはあなたのポストのアルゴリズム概要を消化できるパブリッシャが暗号化暗号文(署名)に秘密鍵を使用して、要約を得た後、この時間は、ソーステキスト、暗号文(署名)と公開鍵でリリースが出て行くことができます。
検証プロセス:第1の公開鍵を確認するために、同じ要約を比べた場合、テキストの同じ要約テキストは、ダイジェストアルゴリズムを取得するために出版社を使用して、発行者の公開鍵かどうかを確認し、[概要を得るために、暗号文を解読するための公開鍵を使用します情報が改ざんまたは指定されているかどうか出版社が発表しました。
すぐにテキストの完全性と正当性を検証できるデジタル署名は、それが様々な分野で広く利用されています。
検証、公開鍵認証方式は、デジタル証明書チェーンのその後の認可で述べました。
デジタル証明書
実際の生活の中での証明書
実生活では、証明書の名前が示唆することは、機関によって発行された許可の証明です。例えば、英語の6証明書は、人の英語のスキルを証明するために、証拠6の個人的な評価を通じて教育部門に授与されます。この証明書の構成で見てみましょう:
- 人々は証明した:ファラオ
- 内容:CETことで
- 教育部門の公印やスタンプ:スタンプ
パロはこの証明書を使用して仕事を見つけるためにする場合、雇用主はファラオの証明書の正当性と能力を確認するためにコンテンツ(特にシール)の資格情報を見て、となります。実際の生活の中で、多くの場合、6の偽の証明書があり、最も重要なのこれらの偽の証明書は、偽のシールを持っていることです。実際の生活の中で使用の法律や規制は、偽の公印細流行動を制約するが、雇用主は判断が真または偽の公印ある非常に正確ではないかもしれません。デジタル署名はこの種の問題を解決するために使用することができます。
デジタル証明書
デジタル証明書は、証明書が実際のシールでは、偽造することができ、デジタル署名によって達成デジタル化されるが、デジタル世界の計算に、デジタル署名は、証明書ファイルに記載された上記証明書として、偽造する方法はありません証明書を発行する際に証明書の内容は、自分の秘密鍵と証明書と要約情報文書に署名する教育部門では、我々は、証明書が偽造できないようにすることができますように、署名ファイルと一緒に公開されます。検証証明書は、公共教育分野での最初の、正当である、教育部門は、アルゴリズムサマリ情報が別の証明書、コントラストを得ダイジェスト同じ使用情報の概要を取得するために署名を復号化する(公開鍵は、誰でもするために得ることができますです)証明書が正当であるかどうかを判断することができる2件の一貫性の要約情報です。証明書の一般的な組成物の一部では、そのような証明書の有効性として、いくつかの追加情報を追加しました。
デジタル証明書はまた、発行機関の多くを持っているさまざまな発行機関によって発行された証明書は、使用は、iOSの開発、証明書にIPAファイル署名を使用すると、同じではありませんが、あなたは、Appleに申請する必要があります。ネットワーク内のWebコンテンツ・セキュリティの送信を防ぐために、SSL証明書は、Webアクセスのいくつかの認識団体に対して発行する必要があります使用する必要があります。発行機関は、CA(認証局)と呼ばれます。
関連する証明書へのWebアクセスは、いくつかの国際機関に受け入れすることができます。
デジタル証明書を確認してください
こうしたブラウザ検証Webアプリケーション関連のSSL証明書として、認証用の証明書を要求、確認者のiOSの証明書は、iOSデバイスです。デジタル証明書は、すべての合法性を確認するために、デジタル署名、デジタル証明書に基づいているためと、署名の検証が代理店を検証する公開鍵を発行するために必要とされるため、デジタル署名証明書が、正しいことを確認することです。
あなたが適用した後のiOS開発用証明書、署名証明書の場合、あなたはまた、私たちは、証明書(正当な)によって確認することができます適用されることを確保するようにするために使用することができ、(それはXCodeのインストール後に自動的にインストールされます)Appleの公開鍵証明書をインストールする必要がありますIPAファイルが署名しました。いくつかの国際的に認められた認証機関は、内蔵のため、ブラウザのデジタル証明書の信頼性を検証するために使用される公開鍵証明書を、Web関連の証明書の検証に署名し、それは、ブラウザによって検証されます。
デジタル証明書が検証されたとき、彼らは、対応するデジタル証明書を使用して物事を行うことができます、のiOS開発用証明書は、APPに署名するために使用することができ、SSL証明書は、関連する事柄を処理するWebコンテンツの暗号化を行うために使用することができます。情報セキュリティを確保するためにそうなるように、データの伝送を確保するために、データが改ざんされていない、これらの証明書では後に、また、情報のソースですが、変更することはできません。
iOS用、iOSのシステムは脱出しない限り、それ以外の場合は、バイパスすることができず、システムで検証プロセスを硬化しました
デジタル認証局チェーン
デジタル証明書はまた、例えば、認証チェーン情報が含まれています。あなたが休暇一週間適用したい場合は、あなたの上司が承認を必要とし、あなたの上司は彼の上司の同意を必要とし、最終的に大きなボスは、承認の層、その後、同意する必要がありますボス認証チェーン(ルート)のルートである許可の鎖を形成する、中間リンクは、許可者のルートに近いです。
たとえば、AppleのApp開発者の署名証明書は、証明書は、APPに署名するために使用することができ、証明書は、実際には、Appleのワールドワイドデベロッパリレーションズ認証局(WDRCA)認可署名、から構成され、それが署名したAppleの認証局によって承認されています。この関係チェーンでは、AppleのCAのルートです。デフォルトでは、アップルのルートCA証明書は、内蔵されたAppleのシステム、WDRCAの信頼性は、Appleにより検証できるように、その信頼性CAのルート証明書を構築しました。
Web関連の上部にSSL CAのルート証明書に、我々がWeb SSL証明書を行う必要があるとき、彼らは政府機関に適用することができ、上記のいくつかの発行機関として認識され、コストが比較的高くなり適用するために、通常はroot権限、 、発行され、ほとんどのブラウザがこれらの公開鍵認証局のCAを事前に構築されていることをルート認証局の利点を選択し、2の数に権限を申請することができますので、発行CA証明書とき以上、このような権限の使用ブラウザは、一般的に、リスクの警告を報告されていません。
概要
このようHTTPSでの鍵交換などの他の側面に、非対称暗号化身元認証を使用して署名したデジタル証明書ベースの非対称暗号化アルゴリズムは、非対称暗号化し、セキュリティで実現するために達成するために情報の特性と改ざんを防止する機能非対称暗号化アルゴリズムRSA最も広く使用されています。非対称暗号化は良いですが、欠点があり、暗号化と復号化には比較的時間がかかるので、一般的に対称暗号化と併せて使用されています。
この記事では、デジタル証明書は、知識に基づいて、より詳細な調査に入ることができますが、詳細のいくつかに興味がある場合は、noneに関連した詳細の多くの概要を提示し、本明細書中で言及されました。一方、本論文ではまた、これらの内容は皆の手配、その後の記事で紹介しますなどナレッジマネジメントの導入だけでなく、デジタル証明書デジタル証明書の形式に関係しません。
参考資料
- このリンク: http://enkichen.com/2016/02/26/digital-certificate-based/
- 免責事項: 特に指定のない限り、このブログの記事で、使用されている CC BY-NC-SA 3.0 のライセンスを。ソースを示してください!