冷やっ子さんによるセキュリティ論試験直前講習会

えあか @eaca109

外れても責任を取るつもりはない、セキュリティのここが大事だよツイートタイム。

えあか @eaca109

まずはセキュリティの大きな基盤である4つの柱を覚えましょう。機密性、認証、否認防止、完全性の4つです。それぞれの意味と、これらはどんな技術で守られているのかを整理しましょう。

えあか @eaca109

秘匿性は情報を外から見えないようにすることです。盗聴とかそういう脅威に対するセキュリティで暗号を用いて守っています。

えあか @eaca109

認証は通信相手が本当に狙った相手なのかを確認することです。これはなりすましの脅威がありますねー。これはまんまだけどユーザ認証で保護してるのよ。

えあか @eaca109

否認防止は送ったメッセージを否定できないようにすること。完全性は受信したメッセージの改ざんされないようにって感じ。両方共デジタル署名が守ります。

えあか @eaca109

脅威とその対策技術までまとめるといいです。言葉だけ覚えてもテストは乗りきれると思うけどｗｗ

えあか @eaca109

次は共通鍵暗号について

えあか @eaca109

共通鍵暗号の大きな特徴は暗号鍵と復号鍵が同じというところ。

えあか @eaca109

テストに出るのは多分利点と欠点だと思う

えあか @eaca109

利点：鍵長が短く、処理が早い　欠点：相手の認証ができない、鍵配送問題、ユーザ側の鍵管理が煩雑

えあか @eaca109

授業資料保存してないからどこまで書けばいいのか・・・

えあか @eaca109

あと授業受けてないからどこまでみんな知ってるのか・・・

えあか @eaca109

そんな特徴をもった共通鍵暗号にはDES、AESが代表的です。DESにはトリプルDESという鍵長を増やした亜種があります。

えあか @eaca109

トリプルDESで覚えておくことは一つ。用いる二つの鍵を同じにすれば既存のDESと同じになるってこと。こうすることで、既存のDESとの互換性を保ったのです。

えあか @eaca109

DESとAESについては細かいプロトコルは覚えなくていいよｗ

えあか @eaca109

ちょっと話は戻るけど、暗号に守るべき約束事がある。それがKerckhoffの原則。アルゴリズムを公開して鍵を秘密にする。

えあか @eaca109

アルゴリズムは考えるのが難しいので、もしもバレてしまったときに替えを用意するのが時間かかるでしょ？だから簡単に変更が効く鍵で守るわけ。

えあか @eaca109

あと、一応冗長性とフレッシュネスについても書いとくか。

えあか @eaca109

暗号が完璧でも冗長性とフレッシュネスがないと問題になるんです。冗長性がないとどんな暗号文でも意味のあるものになっちゃうし、最近送られたものかわからないと、昔の暗号文を別人が勝手に送ること（リプレイ攻撃）ができちゃうの。

えあか @eaca109

では公開鍵暗号に移ろう。

えあか @eaca109

情報学部クラスタにはためになるツイーとだけどそうじゃない人には邪魔！！

えあか @eaca109

そして規制という恐怖。

えあか @eaca109

公開鍵暗号の利点：管理する鍵が自分の秘密鍵だけ、鍵を配送する必要がない、デジタル署名が使える（認証可能になる）　欠点：鍵長が長くなり、処理が遅い

えあか @eaca109

公開鍵暗号で文字長の長い平文を暗号化すると大変だから、共通鍵暗号の鍵だけを暗号化して送って、平文自体は共通鍵暗号でって使い方もあるよ。これは出ない可能性高いな・・・

えあか @eaca109

公開鍵暗号はRSAが一般的。細かいアルゴリズムは何もでない！