章X暗号化とアプリケーション
10.1暗号化と開発の歴史の概念
暗号の概念10.1.1
暗号化暗号化と暗号解読二つの部分を含みます。メイン暗号符号化情報は、メッセージの暗号化、認証などのために使用安全で効果的な暗号化アルゴリズムとさまざまなプロトコルを構築し、暗号解読は、コード破りのメッセージを取得するために、またはメッセージ偽造の研究です。
10.1.2暗号学の歴史
第一段階:古代から19世紀まで、これは初期の開発の古典暗号パスワード段階です。マルチユース文字置換および交換のための暗号化アルゴリズム。
第二段階:20世紀から1949年まで、これは現代暗号の開発の段階です。この段階では、エニグマ暗号機ホイールマシンの最も代表的です。
第三段階:1949年から1975年、現代暗号の開発の初期期間です。
第四段階:1976年以来、今日続けています。暗号は、公開鍵暗号は、新しい時代を入力します。
10.2暗号化アルゴリズム
対称暗号、公開鍵暗号とセキュアハッシュアルゴリズム:パスワードは、それらの機能特性に応じて3つのカテゴリに分類します。
10.2.1対称暗号
基本的な特徴は、暗号化と復号化に同じ対称鍵暗号化アルゴリズムであるか、または比較的容易に単一鍵アルゴリズムとして知られている、由来します。のみならず、プレーンテキストに関連する桁の数字入力(時刻)に対応するが、長さの-対称暗号は、多くの場合、ブロック暗号化アルゴリズムおよびストリーム暗号、各出力が、その中にストリーム暗号とブロック暗号との間の差に分割されNは、関連するデジタル平文の集合です。
平文メッセージのエンコーディングは、デジタル出力(暗号文デジタル)配列に各グループ鍵長の制御下で形質転換等は、前記後のデジタルブロック暗号長さNの(平文デジタル)配列はグループに分割されます。
これは、平文ビットストリームを暗号化するための擬似ランダムビットストリームの多数を生成するために、いくつかの複雑な操作(暗号アルゴリズム)によって、少量(製造任意の要素)を用いてストリーム暗号キーを指します。
10.2.2非対称暗号化アルゴリズム
公開鍵暗号アルゴリズムを大幅キー保有を減らし、キーの送信の問題を解決するために、対称暗号化アルゴリズムの欠点を克服し、対称暗号を提供することは不可能または困難な認証サービスを提供していますが、欠点は、計算の複雑です、大規模な資源の消費、長い暗号文につながります。
10.2.3ハッシュアルゴリズム
ハッシュ関数は、メッセージ認証、メッセージ整合性のための基本的な方法であり、主にデジタル署名するために使用されます。
ハッシュ関数は、入力としてもハッシュ値又はメッセージダイジェストとして知られているハッシュ値と呼ばれる出力を生成するためにメッセージを受け付けます。
10.3サイバースペースのセキュリティ暗号アプリケーション
次のようなセキュリティ上の問題に対処するために暗号化:1)機密性の問題2)整合性の保護3)4)5-否認保護弁別保護)認証とアクセス制御の問題を保護する
暗号化製品は、暗号化のアプリケーションです暗号化と復号化のサービス、キー管理、認証、製品のクラスの他の機能を提供します。
10.3.1公開鍵インフラストラクチャ
概要1.PKI
PKIは、塩基性溶液のネットワークサービスアプリケーションのパスワードを提供するために、公開鍵暗号技術を使用して技術仕様およびセキュリティインフラストラクチャプラットフォームを提供し、フォローする規格です。
2.PKIアーキテクチャ
を経由して、ユーザの公開鍵と利用者の本当の身元を結び付けるために、認定センターと呼ばれるサードパーティの証明機関または----信頼され、デジタル証明書を生成します。デジタル証明書は、ユーザーが簡単かつ安全にオフライン公開鍵の正当性を検証する、相手の公開鍵を取得することができます。
PKIシステムは、一般にCA、登録機関、デジタル証明書、証明書/ CRLライブラリとエンドエンティティと他の構成要素の一部を形成しています。
(1)CA
CAの主な機能は次のとおり
●証明書発行及び管理を
●CRLの発行及び管理
●RAの確立、監査および管理
(2)RA
1監査ユーザ身元情報、その真正性を確保します。
地域におけるユーザのアイデンティティ管理とメンテナンス2。
3.デジタル証明書のダウンロード
4.発行およびデジタル証明書の管理
5.登録ブラックリストを
(3)デジタル証明書
Aのデジタル証明書は実体があり、期間にわたってCAによって署名されたデータの所有者識別情報と公開鍵を備える本体れますアイデンティティ、独自性と権威の証拠。
本体証明書、およびCA署名アルゴリズム署名データ:国際標準X.509仕様は、デジタル証明書は、3つの主要部分から構成され、デジタル証明書のフォーマットを定義します。
証明書のボディは、一般的に含まれています:ユニークな識別子のバージョン番号、シリアル番号、署名アルゴリズム識別子、発行者、有効期限、サブジェクト名、サブジェクトの公開鍵、発行者、サブジェクト一意の識別子拡張フィールド
(4)証明書/ CRLライブラリを
証明書/ CRLライブラリは主に、公開クエリにユーザーのためのデジタル証明書と証明書失効リストを格納し、他のユーザーのためのデジタル証明書、CRLで使用されるシステムを取得するために使用されます。
(5)エンドエンティティ
端末エンティティは、公開鍵/秘密鍵のペアと対応する公開鍵証明書を有するエンドユーザを指し、それは人、デバイス、およびその他のプロセスであってもよいです。
3.PKI相互運用モデル
一般的に使用されるPKIの相互運用モデル主に以下の構造である:厳密な階層モデル、ネットワークモデル及びブリッジ構造の信頼信頼構造モデル。
(1)厳密な階層モデル
の厳密な階層モデルはまた、階層ツリーモデルまたはモデルとして知られている集中信頼モデルは、です。
ツリービューから、即ち、A及びBは、同じ祖先ノードが互いを認証することができる見つけなければなりません。
利点は、構造および多くの構造または組織単位、簡単な計画と類似しているが、欠点は、CAの異なる単位で共通のルートCAの管理下にする必要があり、ルートCAは、リスクの集中につながります。
(2)信頼網状構造モデルの
メッシュ構造モデルは、分散信頼信頼モデルとして知られています。モデル構造の信頼利点メッシュ構造が柔軟である、組織の動的ための簡単な拡張が、欠点は、階層認証パスの拡張された証明書パスを選択することがより困難で、より複雑です。
(3)構造モデルブリッジ信頼
ブリッジ信頼モデルは、ハブとスポーク構造の信頼モデルと呼びます。構造の任意のタイプは、相互信頼を達成するために一緒にブリッジPKI CAによって接続されていてもよい、各個々の信頼ドメインは、CAのCAを介して複数の間をブリッジするように拡張することができます
4.PKIアプリケーションとの開発
セキュリティインフラストラクチャとしてPKIは、ネットワークが広く、仮想プライベートネットワーク、セキュアな電子メール、Webアプリケーションのセキュリティ、電子商取引/電子政府や他の分野を含め、使用されています。IPSecのプロトコルPKI技術に基づいてどちらが、VPNを構築するための基礎となっています。PKI技術は、それ自体が進化し、主に次の側面に、変化しています。
(1)属性証明書
核となるアイデアは、ターゲット資源管理にある、リソースへのアクセス制御は、アクセス制御管理のためのリソースの所有者で統一されます。
(2)証明書は、ローミング
ローカルユーザーがシステムにログインすると、安全にサーバーから公開鍵/秘密鍵のペアを取得し、それを配置する際、原理は中央サーバー上のユーザー証明書と秘密鍵証明書をローミングしていますユーザーが作業して自動的にローカルシステムからローカルシステムのユーザー証明書と秘密キーに格納さ削除ソフトウェアがログオフを完了し、後で使用するために、ローカルシステムのメモリインチ
(3)無線PKIは、
直接無線通信分野に適用されている二つの問題:まず、無線端末の限られた資源、二つの異なる通信モード。
10.3.2仮想プライベートネットワーク
仮想プライベートネットワークは、通常、パブリックネットワークを指し、トンネル技術、一時的な、安全なネットワークを確立しています。
2.VPNが特長
1)低コスト2)セキュリティの3サービス4の)品質)管理性5)スケーラビリティ
作動原理との主要な技術3.VPN
(1)のトンネル
がある3つのトンネルの共謀を:最初のレイヤ2トンネリングプロトコル、第三及び第四のレイヤ2トンネリングプロトコルレイヤつトンネリングプロトコル。
2トンネリングプロトコルデータリンク層を層原理は、第二層プロトコルによってカプセル化の二つの層を介して、トンネルプロトコルに続いて、ネットワークプロトコルPPPパケットの品種にこのデータパケットをパケット全体をカプセル化されていますトランスミッション。
原則第3層トンネリングプロトコルは、様々なネットワークトンネリングプロトコルに直接ネットワーク層プロトコルであり、第3層のプロトコルを構成するデータパケットは送信のために頼っています。
データのカプセル化のためのトランスポート層における第4層トンネリングプロトコル。
(2)暗号化技術を
ネットワーク上の権限のないユーザーが情報を読み取ることができないことを確保するための手順を暗号化することで、インターネットインフラ事業の独自情報の伝送を使用してVPN。
(3)ユーザとデバイスアイデンティティの認証技術は、
デジタル証明書は、互いの身元を確認する確認するために双方の交換を介して通信します。
(4)のIPSec技術
IPSecプロトコルは、IPと上位層プロトコルのための保護を提供します。IP層での高強度のパケットのセキュリティ処理には、アクセス制御、整合性、認証および機密保持などのサービスを提供します。
IPSecは、単一のプロトコルではなく、プロトコルの家族ではありません。これは、2つの部分でセキュリティプロトコルと鍵合意を含んでいます。
セキュリティプロトコルIPSecのカプセル化セキュリティペイロードAH 2つの通信と保護メカニズムを考えます。
IPSecプロトコルは、インターネット鍵交換プロトコルのセキュリティパラメータのネゴシエーションを使用しています。
認証ヘッダーは、
プロトコルは、データ発信元認証とアンチリプレイサービス攻撃をコネクションレスデータの整合性を提供することができます。AHは、データパケットを暗号化しない、機密性サービスを提供していません。
1)次ヘッダ:8の開始負荷の次のヘッドとAHのタイプを示します。
2)負荷長:次の8ビット値は、認証ヘッダと可変長データ)マイナス2を含むAHデータユニットの全体の長さ(32ビット(4バイト)です。
3)予約:16を、ゼロに実際には、すべてのセットを予約しています。
4)セキュリティパラメータインデックスは、32ビットの整数であり、宛先IPアドレスパラメータ、トリプレットを形成するためのIPSecプロトコルは、一意のセキュリティアソシエーションSA IPパケットについて決定することができます。SAが使用IPSecプロトコル、動作モード、暗号アルゴリズム、およびそれらのキーとの間の保護通信の鍵のタイプの生存を提供する当事者間到達通信契約です。
5)SEQ ID NO:32、リプレイ攻撃の単調増加カウンタとしての整数です。
6)認証データ:可変長部分は、完全性チェック値と呼ばれる認証データ、すなわち結果HIMACアルゴリズムを含んでいます。このフィールドは、32の整数倍でなければなりません。
カプセル化セキュリティペイロードプロトコルが強化され、IP層のセキュリティプロトコルのIPSecです。ESPプロトコルサービスコネクションレスインテグリティ、データ送信元認証とアンチリプレイサービス攻撃を提供することに加えて、だけでなく、パケットデータストリームの暗号化および暗号化サービスを提供します。
セキュリティ協会:基本的なIPSecプロトコル。
インターネット鍵交換:IPSecプロトコルスイートの一部、VPNおよびリモートネットワークまたはホストホスト交換の安全性を確保するために、セキュリティパラメータのネゴシエーションを実装するために使用されるセキュリティプロトコル。
インターネットSecurity AssociationとKey Managementプロトコル、オークリー、安全な鍵交換メカニズム:IKEは、3つの異なるプロトコル関連する部分が含まれているハイブリッドプロトコルです。
1)ISAKMPは、SAの確立及び管理のための一般的なフレームワークです。
2)オークリープロトコルは、鍵生成プロトコルは、鍵生成のための機密保護を提供し、両当事者は、アイデンティティ保護鍵生成方式を提供するように。
3)SKEMEプロトコルは、匿名、否認防止鍵生成方式です。
(5)シールコート技術をセキュア
ソケットレイヤプロトコルはTCP / IPとデータ通信のための安全なサポートを提供するアプリケーション層プロトコルの様々な間に配置されている安全、それは広くデータの認証および暗号化に使用されているWebブラウザとサーバとの間で転送さ。
1)レコードプロトコル
SSLレコードプロトコルSSLは、機密性およびメッセージの整合性サービス接続を提供します。
ハンドシェークプロトコルを完了するために、第四段と、サーバー認証と鍵交換のための第二段階;クライアント認証と鍵交換のための第三段階のセキュリティ機能を確立する第一段階:SSLハンドシェイクプロトコルは、4つのフェーズが含まれています。
SSLハンドシェークプロトコルプロセスが含ま:クライアントのhelloメッセージ、サーバーのhelloメッセージ、証明書、クライアント認証要求、サーバー鍵交換、サーバーの最後こんにちは、クライアント証明書、クライアントキー交換、証明書の検証、暗号化契約を変更、エンドサーバーを暗号化されたデータは
代表的なアプリケーションモード4.VPN
VPN 3つの代表的なアプリケーションモードを。
(1)リモートアクセスVPN(2)イントラネットVPN(3)VPNエクストラネット10.3.3特権管理インフラストラクチャ
1.PMI概要
権限管理インフラストラクチャが登場し、それはマルチアプリケーション環境で著作権管理とアクセス制御メカニズムを提供し、著作権管理とアクセス制御は、アプリケーションおよびアクセス制御メカニズムを作り、特定のアプリケーションから分離しました柔軟かつ容易にシステム間に組み込むことができます。
で構成2.PMI
PMI属性証明書は、農産物やAC、管理、保管、流通および失効機能への権利を完了するために使用される部品の属性認証局(AA)とACライブラリのコレクションです。
(1)属性証明書
ACを使用したPMIは、証明書のライフサイクル管理の実装によって権利の許諾情報、ライフサイクル管理を発現します。
(2)財産権は、特定のアプリケーションシステムの認証管理システム、各部門の管理、一部またはすべての属性を管理するために、それに与えSOAパワーに対応し、PMIのコアサービスノードです。
(3)証明書ストアの
お問い合わせは、利用者のPMI ACとAC失効リストを公開するための証明書のリポジトリ。
構造3.PMIアプリケーション
PMIとPKIとの主な違いは次のとおりです。
1)メインPMIのAUTHORIZE管理は、ユーザーが何ができるかの権限を証明します。
2)PKI認証は、主にユーザーの身元を証明します。
3)は、2つの間の関係は、一意の個人を識別するためにパスポートとビザ、パスポート、アイデンティティの証明と同様に使用することができるされ、ビザとパスポートは、国の数を持つことができ、所与の時間に適切な国に入ることができます。
:もちろん、両者のアーキテクチャは、のような多くの類似性がある
ACエンティティがAAと呼ばれ、CAの署名と呼ばれるユーザのデジタル証明書署名されたエンティティの1)。
2)PKIは、信頼できるソースは、ルートCA、PMIの信頼できるソースはSOAと呼ばれると呼ばれています。
3)CAは、その信頼二次CAを有していてもよく、CAは、SOAは、二次AAに委任することができ、二次エージェント識別および認証することができます。
ユーザーがその署名鍵を廃止する必要がある場合4)、CAはCRLを発行します。ユーザーが認証許可を廃止する必要がある場合は同様に、AA ACは失効リストを発行します。