JNSA臨時スキルアップTF 実世界の暗号・認証技術に関する勉強会 #JNSA
-
- いいね!78
Yoshikazu GOTO
@goto_ipv6
小川さん:どんな趣旨か? 前回、昨年度の9月、CC/CMVP勉強会を行いました。前回やったメンバーが、もっと話したいことがある、って言っていたので、今回、やることに。なんで 100人になったのか… #JNSA
2015-06-22 18:03:36
Yoshikazu GOTO
@goto_ipv6
小川さん:色んな方、お話していただきたい方に声をかけてみました。議論する時間が無くなってしまいました…。早く公演が終わったら、質疑ということで、そちらで。 #JNSA
2015-06-22 18:04:04
Yoshikazu GOTO
@goto_ipv6
木村さん:場所を温めるつもりでやってきていて。ゆるいプレゼンで、みなさんの、凍った氷を溶かしたいと。 HSMをご存知のかた。 #JNSA
2015-06-22 18:10:17
Yoshikazu GOTO
@goto_ipv6
Hardware Security Module は、暗号鍵を生成、保存できる機械。誰かが中を開けようとしたらわかるとかそんな機能を持っているもの。 この勉強会に来られる方は、一度は買おうと思ったかと。 #JNSA
2015-06-22 18:10:29
Yoshikazu GOTO
@goto_ipv6
木村さん:ごしつもん!: ・HSMを運用されている方! →3名 ・導入を検討されたことのある方 →いらっしゃいますね ・メーカーの方? →数名 ・お取り扱いのある代理店、SI企業の方? →数名 ・電子証明書をサービスしている方 →数名 #JNSA
2015-06-22 18:12:41
Yoshikazu GOTO
@goto_ipv6
木村さん:Webサーバーの鍵を生成するとき…: ・-nodes オプション →opensslコマンドの →秘密鍵、サーバー上に保存されていますよね? →→nodesは、Passwdが不要に(再起動時にApacheがSSLで使えるように) #JNSA
2015-06-22 18:14:06
Yoshikazu GOTO
@goto_ipv6
木村さん:プレーンの鍵を普通に置いていいのでしたっけ。。: ・Heartbleedも、CAを読めたりするとか #JNSA
2015-06-22 18:14:46
Yoshikazu GOTO
@goto_ipv6
木村さん:一方、社内の認証システムのための鍵は?: ・認証局(CA)の鍵はどこにあるのでしょう? ・Webサーバーならまだしも署名付きデータを発行する役割の鍵は? →社内認証局 →DNSSEC署名サーバ →社内システムの電子証明書発行ホスト #JNSA
2015-06-22 18:16:14
Yoshikazu GOTO
@goto_ipv6
木村さん:趣旨: ・システム運用の観点で、色んな段階があるが、そのあたりを整理 →HSMの現実を描いてみたい #JNSA
2015-06-22 18:16:57
Yoshikazu GOTO
@goto_ipv6
木村さん: 私達、鍵は、ファイルとしておいちゃダメですよね、とか、色々と ・現実的に、運用できないとならないです。 →どうやってつないでいく? #JNSA
2015-06-22 18:17:42
Yoshikazu GOTO
@goto_ipv6
木村さん:HSMすごろく: ・このすごろく、恐ろしくて、次に進めないと終わりっていうものです w →ゴール? →→鍵を撤去できる時の嬉しさ!! プライスレス! #JNSA
2015-06-22 18:18:36
Yoshikazu GOTO
@goto_ipv6
木村さん: システムにおけるHSMの必要性検討→製品情報収集→動作検証(色々と相談に乗ってくれる)→機種選定→調達→業務設計→設置→鍵生成(キーセレモニー:背広を着ている人が、黙って、コンソールを見ているようなイベント…)→活性化(使える状態に)→障害対応→鍵消去 #JNSA
2015-06-22 18:20:18
Yoshikazu GOTO
@goto_ipv6
木村さん:システムにおけるHSMの必要性検討: ・コストを説明できなくて一回休み →サポート費用も検討する必要があります(安全を見た金額を言われます) #JNSA
2015-06-22 18:22:34
Yoshikazu GOTO
@goto_ipv6
・メリットを説明できず振り出しに戻る ・周りはどうしているのかを知らずに一回休み →周りが使っていると後押しに #JNSA
2015-06-22 18:22:52