@IT会議室は、ITエンジニアに特化した質問・回答コミュニティ「QA@IT」に生まれ変わりました。ぜひご利用ください。
- PR -

SSLでも「なりすまし」

投稿者投稿内容
はからずも
会議室デビュー日: 2007/01/25
投稿数: 8
投稿日時: 2007-01-25 14:38
初投稿になります。よろしくお願い致します。

SSL に関しての疑問なのですが、例え SSL 掛かっていたとしても「なりすまし」って出来てしまうと思うのですが、どうでしょうか?この辺りのことが検索等で見つからなくて・・・。

SSL とは、結局のところ、通信の途中で傍受されても復号化されないためのものであると捉えています。

例えばIDとパスワードを持つデータを傍受した場合、復号化出来なくても、データをそのまま本来の宛先へ送ってしまえば、認証は通っちゃいませんか?
あとは普通にセッションID受け取って・・・など。

IDとパスワードを持つデータかどうかは、宛先で分かりますし。そうようなものではないのでしょうか?
何か根本的に勘違いをしているかも知れません。

SSL を評価する上で疑問に思いましたので、参考URLだけでも、よろしくお願い致します。
なちゃ
ぬし
会議室デビュー日: 2003/06/11
投稿数: 872
投稿日時: 2007-01-25 14:48
引用:

はからずもさんの書き込み (2007-01-25 14:38) より:
SSL とは、結局のところ、通信の途中で傍受されても復号化されないためのものであると捉えています。


その認識がそもそも間違いです。
ue
ぬし
会議室デビュー日: 2005/05/07
投稿数: 581
お住まい・勤務地: 広島市
投稿日時: 2007-01-25 15:23
こんにちは。

槻ノ木隆のBBっとWORDS のバックナンバーを その22 から その27 まで通してお読みになれば暗号化通信の大まかなところは掴めると思います。
_________________
上本亮介 (ue) @ わんくま同盟
Microsoft MVP for VSTO (Jul 2008 - Jun 2009)
Hello Another World!
.NET 勉強会 / ヒーロー島
はからずも
会議室デビュー日: 2007/01/25
投稿数: 8
投稿日時: 2007-01-25 15:23
引用:

なちゃさんの書き込み (2007-01-25 14:48) より:
その認識がそもそも間違いです。



そうなんですか。
検索方法がぬるいかも知れませんが、サーバ証明書、ルート証明書、秘密鍵、公開鍵、共通鍵、PKI程度しか見つかりません。

証明書の検証とデータ暗号化・復号化以外 SSL は一体何をしているのでしょう?

たとえば共通鍵の段階まで移行している場合でも、傍受した暗号データをそのまま送れば、期待するレスポンスは返ってこないんでしょうか?

共通鍵がセッション毎に破棄されると聞きましたが、どの程度有効なのか分かりません。
パケット経由するサーバであれば簡単に送信元をすりかえられるんじゃないのかな?と思ってしまうのです。
はからずも
会議室デビュー日: 2007/01/25
投稿数: 8
投稿日時: 2007-01-25 15:24
引用:

ueさんの書き込み (2007-01-25 15:23) より:
槻ノ木隆のBBっとWORDS のバックナンバーを その22 から その27 まで通してお読みになれば暗号化通信の大まかなところは掴めると思います。



こんにちは。ありがとうございます。
早速読んでみます。

読んでいて気付いたのですが、「なりすまし」って書いたのがまず間違っていました。
Fishing詐欺と同じ意味?だったんですね。すみません。

サーバ側が偽装するのではなく、データを盗聴してクライアントになりすます場合(なんと言うのでしょう。)はどうでしょうか?

[ メッセージ編集済み 編集者: はからずも 編集日時 2007-01-25 15:35 ]
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-01-25 15:31
こんにちは。

引用:
はからずもさんの書き込み (2007-01-25 14:38) より:

何か根本的に勘違いをしているかも知れません。

SSL を評価する上で疑問に思いましたので、参考URLだけでも、よろしくお願い致します。


よほど探し方が悪かったのでしょうかねえ? 
まともな解説サイトは幾つも見つかりますが・・・。

ここ(SSLサイト安全性確保の仕組み)もその一つです。

はからずも
会議室デビュー日: 2007/01/25
投稿数: 8
投稿日時: 2007-01-25 15:38
引用:

BackDoorさんの書き込み (2007-01-25 15:31) より:
こんにちは。
よほど探し方が悪かったのでしょうかねえ? 
まともな解説サイトは幾つも見つかりますが・・・。



こんにちは。
そう言われると面目ありませんが、どうも「なりすまし」の方の意味を取り違えていたようです。

サーバ側が偽装するのではなく、データを盗聴してクライアントになりすます場合(なんと言うのでしょう。)はどうでしょうか?
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-01-25 15:49
引用:
はからずもさんの書き込み (2007-01-25 15:38) より:

サーバ側が偽装するのではなく、データを盗聴してクライアントになりすます場合(なんと言うのでしょう。)はどうでしょうか?


一つ前のコメント中の参考URLを見て下さい。
# 青字に見える部分ですが、わからなかったのかなあ。
# 相手の確認が取れないとSSL通信は始まらないのですが・・・。

スキルアップ/キャリアアップ(JOB@IT)