|
| 前回「メールを安全に読み出すpop3s」に引き続き、メールを安全に読み出すための仕組み、pop3s、apop、pop3それぞれの性質を比較。PCからメールサーバまでpop3でも安全なケースもあるというが、pop3が安全でないケースはどんなときか?メールの転送中は安全なのか? はたまた、pop3で読み出しだけ暗号化しても無意味なのではないか、などの素朴な疑問をさらに深く迫っていきます。 |
 |
pop3s、apop、pop3を比較する |
|
メールを安全に読み出すために
|
|
||||||||||||||||||||||||
前回「メールを安全に読み出すpop3s」に引き続き、pop3s、apop、pop3それぞれの性質にさらに深く迫っていきます。表1で○は安全、×は安全でないことを表しています。また○の下にある説明は、安全にするための仕組みを書きました。
まずpop3は、本人確認、一覧読み出し、本文読み出し、いずれも安全ではありません。apopは、「ハッシュ」という暗号化の仕組みを使って本人確認は安全に行えます。しかしメール一覧やメール本文の読み出しは盗聴される可能性があります。一番安全なのはpop3sです。TLS/SSLの仕組みを使うことで、通信内容を暗号化(盗聴防止)し、また通信相手を特定する(なりすまし防止)ことができます。
|
||||||||||||||||
| 表1 pop3s、apop、pop3の機能比較 |
|
ネットワークに生パスワードを送らずにすむapop |
|
apopのハッシュってなんですか?
|
少し話がそれますが、apopで使われている「一方向ハッシュ関数」を簡単に説明しておきましょう。「一方向ハッシュ関数」とは、図1のような性質を持った関数です。ちょっとややこしいですが、じっくり読んでみてください。
.gif)
|
|
| 図1 一方向ハッシュ関数の性質 |
何かの文字列を一方向ハッシュ関数に与えると、長さが一定の別の文字列に変換されます。図では「I have a pen」という文章が「4a25880d19034b05ea27a3de98109343」になっています。では元の文字列を「I
have a pin」に変えるとどうでしょうか? 今度は「e2f830b0e1b4b9488b8f853cc53562e4」という結果になりました。元の文章は1文字違うだけなのに、結果はまったく違います(図中(1))。また、このとき結果から元のデータを逆算することは困難です(図中(2))。
このような性質のある一方向ハッシュ関数は、メッセージが不正に書き換えられていないか(改ざん)のチェックによく使われます。これは1文字違っているだけで結果がまったく違うこと、また結果から逆算するのが困難な性質を利用するものです。またapopでパスワードの保護に使う場合は、主に逆算がとても難しい性質を利用していると考えられます。
なお、一方向ハッシュ関数では、極めてまれですが、図中(3)のように元の文字列がまったく違うのに同じ結果をもたらすことがあります。ただ、その確率は実用上ほぼゼロになるように設計されています。また同じ結果が得られる元の値を逆算することは困難です。
|
apopのどこに一方向ハッシュ関数?
|
apopでは、パスワードをそのまま送る代わりに、一方向ハッシュ関数の結果をやりとりすることで、パスワードが正しいことを確認しています。
具体的には、図2のような動作をします。
 |
| 図2 パスワードをやりとりしない認証 |
まずpopサーバは「チャレンジ文字列」をユーザーPCに送ります。ユーザーPCでは、チャレンジ文字列にパスワードをくっつけて、それをMD5という種類のハッシュ関数に与えます。そうして得られた結果を「レスポンス文字列」として送り返します。
popサーバは、チャレンジ文字列と自分自身が知っているパスワードから、MD5によってレスポンス文字列を作っておきます。ユーザーPCからレスポンス文字列を受け取ったら、自分が作ったものと比較して、両方が同じだったら正しいパスワードだと判断します。これだけです。
ここでpopサーバとユーザーPCの間で、パスワードのやりとりをしていないことに注目してください。やりとりしているのはレスポンス文字列です。一方向ハッシュ関数の性質上、レスポンス文字列からその元になった値(チャレンジ文字列+パスワード)を逆算することは困難です。そのため、いくらネットワークが盗聴されたとしても、盗聴者がパスワードを知ることはできない、というわけです。
なお、実際のpopのやりとりを「連載第4回 TCP/IPアレルギー撲滅ドリル【超実践編】ちょっとジミなPOP3でメールを読む」で紹介していますので参考にしてください。
| 目次 | |
 |
pop3s、apop、pop3を比較する/ネットワークに生パスワードを送らずにすむapop |
| pop3はどうしても危険なのか? | |
| メールの読み出し暗号化の意義は? | |
| 関連リンク | |
| 連載:インターネット・プロトコル詳説 | |
セキュリティプロトコルマスター バックナンバー
TCP/IPアレルギー撲滅ドリル
TCP/IPへのアレルギーを撲滅すべく、試しながらナットクしていただく超実践型入門ドリル。
- 第1回 telnetでWebサーバに接続してみよう
- 第2回 HTTP語でWebブラウザとしゃべってみよう
- 第3回 SMTPでメール送信の舞台裏をあやつる
- 第4回 ちょっとジミなPOP3でメールを読む
- 第5回 器用な二刀流、FTPでファイル転送!
- 第6回 覗いてみればディープな世界 DNS
- 最終回 知れば知るほどDNSは不思議な海へ
TCP/IPアレルギー撲滅ドリル【下位レイヤ編】
正確で確実な通信をするための下位レイヤプロトコル。あなたはTCP/UDP/IP/ARPを制覇できるか?
- 第1回 TCPの迷宮をさまよってみませんか?
- 第2回 ITオンチにTCPのセボネを見る
- 第3回 分かるスライディングウィンドウ、見えるEhtereal
- 第4回 ウィンドウは主導権と良心のはざまで
- 第5回 それでも不正確なデータを受け取ったらどうするの?
- 第6回 EtherealでリアルなTCPの動きを観察する
- 第7回 「アイピー」ってなんですか?
- 第8回 不確実なIP通信をカバーするうまい方法とは
- 第9回 データの過保護をお望みでないならUDPで
- 第10回 arpはネットワークで何を「叫ぶ」?
TCP/IPアレルギー撲滅ドリル【総まとめ編】
ウェブブラウザでウェブページが見られるまでの各プロトコルの動きをパケットになった気分で冒険してみよう
- 第1回 Webページを見せるまでのパケット君の冒険
- 第2回 パケット君がWebページ表示の冒険に失敗するとき
- 第3回 Etherealでパケットの実物を捕まえ中身をのぞき込もう
- 第4回 Etherealでarpパケットをのぞき込もう
- 第5回 DNSへの問い合わせをEtherealでのぞき込む
- 第6回 Webアクセス中のHTTPパケットの中身をみる
 |
「Master of IP Network総合インデックス」 |
TechTargetジャパン
- 実機では測定できない性能を測定? (2012/2/7)
システムの完成前に、達成し得る性能値や必要なサーバリソースを知るには? その解となる「性能シミュレーション技法」を解説 - 性能チューニング個所の検討 (2012/1/30)
アプリのチューニングや環境増強で、どの程度改善が見込める? 今回からは「実際に活用できる性能対策」を解説します - 遅いところを直すだけでいいのですか? (2012/1/24)
負荷が集中したときの性能ボトルネックを改善するのに、アプリケーションサーバとDB、どちらを優先すべきでしょう? - cloudfoundry.comを使ってみよう (2012/1/19)
VMwareが提供するPaaSプラットフォーム「CloudFoundry」。注目を集めるこの基盤を活用してPaaSを構築!
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。