- PR -

SSLでも「なりすまし」

投稿者投稿内容
はからずも
会議室デビュー日: 2007/01/25
投稿数: 8
投稿日時: 2007-01-26 03:43
ま、ここまで書き込んでおいて本題ですが・・・。
なぜあの質問で SSL の仕組みの理解を促されるのか、正直分からなかったのですが、ようやく分かった事があります。

それは、SSL のシーケンス(でいいのかな。)にそってれば通信の割り込みは「ありえない」というのが常識なのではないか?ということです。
SSL の仕組みさえ理解していれば、「データを盗聴して・・・」なんて質問はありえないハズだと。

そこで、私の思い込みは、証明の確認、確立、データ通信のセキュリティの強度?はぞれぞれ別個であるハズだということです。

つまり証明の確認は、あくまでお互いの確認であり、その後の通信まで保証されるとは思っていなかったんですね。実際のところ、SSL の流れを見る限り、強固に連携をとってはいるけれども、その後の保証は無いと今でも思っています。
このあたりは、まだ理解を深めるべきところです。

ただ、その観点で回答を下さった方もいますしとても感謝しています。

nagiseさん
>論理的には可能、現実的には不可能なのでは。
はしもとさん
>受け取ったセッション ID とやらだって復号化できない。
スフレさん
>それをもう一度送ることを「リプレイ攻撃」といいます。
>各パケットにシーケンス番号が暗号化されて入ってますので

現状の認識としては、ま、大雑把ですが。
論理的には可能、現実的には不可能ということでしょうか。
海外のサイトでこの理論部分に触れたものを見つけました。
ただ、ロジックうんぬんとは別に、実際のところソフト面でちょこちょこ脆弱性は存在しているというのもあるんですね。
そっちを考える方が先だった・・・。

結局ソフト、人為ミスを除けば、一般的に懸念は杞憂と言った印象です。
正直私は技術屋じゃありません。が、今回の事で今までに無く理解が深まったものと思います。
どせい
大ベテラン
会議室デビュー日: 2006/10/25
投稿数: 145
投稿日時: 2007-01-26 09:53
引用:

はからずもさんの書き込み (2007-01-26 03:42) より:
引用:

nagiseさんの書き込み (2007-01-25 18:37) より:
「非難がましい」と非難するのもまた「非難がましい」ので


そうですね。「仕返し」のつもりで書きましたので非難そのものです。

本題と離れてしまいますが、やはり気は納まらないもので続けますと。

2ページ目の最後まで私はそんな書き方をしてませんし、大半の方は「理解の不足」を指摘する内容に始終しています。
ある方など「基本的な理解の不足が原因のオレオレ推論の展開 」と言っておきながら、非難は思い込みと言い切ってますしね。

「正確になるように補ってあげないと」とはよく言ったものだと思います。素人には、自分の言葉が曖昧であるどうかすら知りようが無いにも関わらず・・・です。矛盾、欺瞞、屁理屈満点です。
セキュリティやサーバ・クライアントには素人でも、「日本人」として素人って訳でもありませんので。

ところで私が、
「上記URLですらこんな程度なのに、それ以上勉強しなければ、ダメなようで。 」と言ったのは、甕星さんの書き込み (2007-01-25 15:57)に対してです。
リンクでもあるような一般的な使い方のはずをしている(それ以上の意味は無いということで)のに、さらに冗長な表現を求めるのか?ということです。



俺はいったいどこに「非難は思い込み」って書いたんだろう。
自身のレスを引用するけど、(略)した中にもそんな事書いてないよな。
やっぱり思い込みは損してるよね。

引用:

どせいさんの書き込み (2007-01-25 20:57) より:
引用:

はからずもさんの書き込み (2007-01-25 18:00) より:

どうも素人が質問できるような場所ではないようですね。
(略)
批判的、排他的なものを感じずにはいられませんね。



そう思うのは個人の自由だけど、思い込みで損をする事って多いよね。

ここは素人だろうが玄人だろうが関係なく、自分のわからない点を伝えることができている人の質問には回答付きやすいよ。




気が収まらないから書き込むなんて事はやめた方がいいよ。建設的じゃないしボロも出るし。

引用:

はからずもさんの書き込み (2007-01-26 03:43) より:
正直私は技術屋じゃありません。が、今回の事で今までに無く理解が深まったものと思います。


皆さんのレスで情報の棚卸が出来て満足。激しく感謝。
ひら
ぬし
会議室デビュー日: 2005/03/04
投稿数: 260
投稿日時: 2007-01-26 11:02
引用:

はからずもさんの書き込み (2007-01-25 18:00) より:
どうも素人が質問できるような場所ではないようですね。
批判的、排他的なものを感じずにはいられませんね。


本題から外れますが、端的に言えば、自らの読解力のなさを棚に上げて、
素人・初心者の文章に対して非難する雰囲気がここにはあるということですね。
それをわかった上での書き込みなら良いのですが・・・


はしもと
大ベテラン
会議室デビュー日: 2003/02/05
投稿数: 182
投稿日時: 2007-01-26 11:49
引用:
はからずもさんの書き込み (2007-01-26 03:43) より:

現状の認識としては、ま、大雑把ですが。
論理的には可能、現実的には不可能ということでしょうか。



公開鍵暗号は破れない。
共通鍵暗号は破れない。
クライアントがサーバの証明書をちゃんと検証する。
クライアントが CA の正しい証明書を入手する。
という前提の下なら、論理的にも不可能だと思います。

クライアントが生成したプリマスタシークレットを入手できなくても
なりすます方法ってあるんですか ?
blunder
ベテラン
会議室デビュー日: 2003/09/11
投稿数: 65
投稿日時: 2007-01-26 11:59
本題に戻りたいのですが、はからずもさんの質問の前提では攻撃者は共通鍵を知らない
ことになっているように受け取れます。
なぜなら攻撃者はデータの復号ができないことが前提となっているからです。
共通鍵にはデータ暗号化(かつ復号化)用の鍵とMAC鍵を含めて考えています。
この2種類の鍵を知らないと、攻撃者はデータの挿入、改竄はできないので、なりすまし
はできないです。強引に挿入、改竄を行なったとしても、サーバ側で検出されてしまう
からです。
正確には、でたらめな鍵を使って、それが偶然本物の鍵と一致するケースがありますが、
確率があまりにも低いので無視してよいと思います。
もちろん攻撃者が鍵を知っているなら、なりすましは可能なはずです。論理的にも現実
的にも可能だと思われます。ですからSSLさえ使っていれば安全だと考えるのは愚かな
ことで、きちんとした実装、きちんとした鍵管理が安全性の前提となっています。
もしかしたらそんな初歩的なことは分かっているといわれるかもしれませんが、とりあえ
ず気になったので。
あしゅ
ぬし
会議室デビュー日: 2005/08/05
投稿数: 613
投稿日時: 2007-01-26 13:26
引用:

はしもとさんの書き込み (2007-01-26 11:49) より:
公開鍵暗号は破れない。
共通鍵暗号は破れない。
クライアントがサーバの証明書をちゃんと検証する。
クライアントが CA の正しい証明書を入手する。
という前提の下なら、論理的にも不可能だと思います。



秘密鍵の管理やシステム設計等の運用的な理由を除いて、
鍵の受け渡しや検証方法そのものに暗号学的な脆弱性が
見つかったとすれば世の中大騒ぎでしょう。

はからずもさんの質問内容はシステム設計等についてですよね?

単に「なりすましは可能か?」ではなく、そういった所も踏まえて
質問されていれば嫌な思いをしなくて済んだのにと思ってしまいます。
はしもと
大ベテラン
会議室デビュー日: 2003/02/05
投稿数: 182
投稿日時: 2007-01-26 16:17
引用:
あしゅさんの書き込み (2007-01-26 13:26) より:
引用:
はしもとさんの書き込み (2007-01-26 11:49) より:
公開鍵暗号は破れない。
共通鍵暗号は破れない。
クライアントがサーバの証明書をちゃんと検証する。
クライアントが CA の正しい証明書を入手する。
という前提の下なら、論理的にも不可能だと思います。



秘密鍵の管理やシステム設計等の運用的な理由を除いて、
鍵の受け渡しや検証方法そのものに暗号学的な脆弱性が
見つかったとすれば世の中大騒ぎでしょう。

はからずもさんの質問内容はシステム設計等についてですよね?



あ、なるほど。
論理的 = 暗号学的と読んでしまいました。
taqu
ベテラン
会議室デビュー日: 2007/01/22
投稿数: 54
投稿日時: 2007-01-27 13:57
引用:

ひらさんの書き込み (2007-01-26 11:02) より:
本題から外れますが、端的に言えば、自らの読解力のなさを棚に上げて、
素人・初心者の文章に対して非難する雰囲気がここにはあるということですね。
それをわかった上での書き込みなら良いのですが・・・



そもそも、こういった意見が叩かれるのは、自分の意見が理解される原因が
自分の説明力じゃなくて相手の理解力が足りないという前提で話をしようとする
からなんですが。
別に「素人だから」「初心者だから」叩かれるわけじゃないんですけど。
そこまで細かい説明が必要なんでしょうか?

#スルーだ、スルー…

スキルアップ/キャリアアップ(JOB@IT)