デジタル証明書の仕組みについて、以下のサイトを読んで勉強していますが、分からない点がいくつか有り、ご教示いただきたく、質問投稿させて頂きました。
https://milestone-of-se.nesuke.com/sv-advanced/d …
(1)
「デジタル証明書本体は、インターネットに公開して使うのが一般的であり、その元となる CSR は公開されても構わない」とあるのですが、認証局へメール連絡時にCSRのすり替えやなりすましがされたり、公開されたデジタル証明書を入手し使い回してなりすましする行為はないのでしょうか?
(2)
「中間認証局の公開鍵を使って電子署名を復号化し、実際のデジタル証明書のハッシュ値を計算したものと比較し」とありますが、どのハッシュ関数を使用しているかが分からないと比較検証出来ないと思いますが、どのようにハッシュ関数は共有されるのでしょうか?
(3)
「ルート認証局についてはあらかじめ、もしくは手動でインストールされている。」について、ルート認証局の公開鍵の正当性はルート認証局の自己署名なのでハッシュ値を辿る術がなく、ユーザーは事前にインストールして信頼するしかない、ということかと思いましたが、その理解で正しいでしょうか?
No.1
- 回答日時:
自分がドメイン認証申請した経験からなので、間違っているかもしれませんが・・・
(1)メールのすり替えやなりすましができるのであれば、デジタル証明書も怪しくなりそうですね。ただ、CSRが公開されたのみなら、記載どうり問題ないと思います。
(2)比較検証のソフトを自作するなら別ですが、そうでないなら、ユーザとしてはハッシュ関数がどうなっているかは気にしないでもいいのでは?
(3)ルート認証局については、ユーザ側としてはそれを信じるしかないでしょうね。
No.2ベストアンサー
- 回答日時:
(1) 後半のなりすましの話
Aさんが「私の公開鍵はXXだ」と言ってるのを盗んで、Bさんが「私の公開鍵はXXだ」と言うのは当然可能です。が、BさんはXXに対応する秘密鍵を持ってないので、そのあとどうしようも無いです。
Aさんが「私の銀行口座はXXだ。給与はここに振り込んで」と会社に届けたのそ知ったBさんが「私の銀行口座はXXだ。給与はここに振り込んで」と届けるのは可能です。が、AさんのXX口座のキャッシュカードや暗証番号が無い限りどうしようも無いのと同じです。
(1) 前半の登録時のすり替えの話
それは認証方式の問題じゃないのであり得ますね。ただし、登録後に確認すれば判明することです。
Aさんが「私の名前はA.私の銀行口座はXXだ。給与はここに振り込んで」と会社に届けたが、Bさんがその届け出用紙を書き換えて「私の名前はA.私の銀行口座はYYだ。給与はここに振り込んで」と自分の口座番号YYを届けたら、Aさんの給料をだまし取れます。すぐばれるので、海外逃亡か地下に潜るか。
この詐取に銀行の責任はゼロ。
(2) ハッシュ関数は方式ごとに決まっているか、あるいは複数使える場合はハッシュ化後のデータにハッシュ関数の名前相当を付加してそれごと渡します。
(3) はい。ルート認証局は無条件に信頼するしか無いです。
https方面の話なら、OSベンダーや、ブラウザベンダーが信頼した物を組み込んでいます。こういう事件もありました。
https://internet.watch.impress.co.jp/docs/news/4 …
「前は信頼していたので組み込んだが、その後信頼できないことが分かったので、削除した」ということですね。類似数件あったはず。
詳細な回答ありがとうございます。
理解いたしました。
(1)後半のご回答について、インシデントがあった記憶があり、記憶とは違う記事でしたが下記の場合があり得るかと思いました。こういったインシデントは稀ということなのでしょうか?
https://atmarkit.itmedia.co.jp/news/201103/24/co …
No.3
- 回答日時:
> (1)後半のご回答について、インシデントがあった記憶があり、記憶とは違う記事でしたが下記の場合があり得るかと思いました。
こういったインシデントは稀ということなのでしょうか?記事では「なりすましで認証局にログイン、電子証明書を不正発行」となっているので、秘密鍵と公開鍵のペアが悪人に渡ったと言うことかと思います。秘密鍵がばれれば、なりすましは可能ですね。
銀行の例だとキャッシュカードと暗証番号ごと相手に渡った場合です。
この不正発行自体は、
> 攻撃者は、南ヨーロッパのあるパートナーのユーザー名とパスワードを取得し、証明書発行時の審査を行うRA(登録局)にログイン。
ということなので、ユーザー名とパスワードがそろってばれた相手の行為なので、発行自体は正当で、発行された証明書は本物ですね。取り消されるまでは。
たとえばgoo.ne.jpの証明書の秘密鍵公開鍵を入手したとします。それでウェブサイトを作っても、一般の人は、https://goo.ne.jp でそのサイトに来ませんが、DNSポイズニングや、偽の公衆Wifiアクセスポイントと組み合わせると、https://goo.ne.jp で、その偽サイトにアクセスさせることは可能でしょう。そうなると証明書は本物なので、端末のブラウザに組み込まれたルート証明書からたどれて、普通に表示されます。
(証明書無しで、単に偽の公衆Wifiアクセスポイントを作って、goo.ne.jpを自分のサーバーのIPアドレスに誘導しても、http://goo.ne.jpだとばれませんが、https://goo.ne.jp だと端末のルート証明書からたどれる証明書じゃ無いので、「オレオレ証明書だ」とか「証明書とドメイン名が合わない」的な何らかのエラー画面になるはず。まあ、「危険を承知でアクセスする」をクリックするとアクセスできたりしますが。「公衆Wifiでもhttpsなら安心」というのはそういうことですが、正規証明書が盗まれるとそうも言えません。)
(1)の後半は「公開されている証明書情報」を使ってなりすましが出来るか?なので、上記はそれと別の話です。公開されてない秘密鍵も必要です。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 政治 日本のマイカードはあまりに遅すぎです 7 2023/04/02 18:36
- 格安スマホ・SIMフリースマホ SMS認証用の電話番号が欲しい 6 2022/06/12 18:21
- その他(保険) シャープと共同開発した「BCG高性能JH-WB182Eの保証書」に関しての疑義 3 2023/05/22 15:01
- ハッキング・フィッシング詐欺 Airbnb セルフチェックの宿の個人確認について 1 2022/05/08 10:12
- 哲学 フォルダによる本質証明と述語証明 2 2023/10/10 00:53
- その他(セキュリティ) デジタル署名について 4 2022/08/12 14:54
- 日本語 心証という熟語について 5 2023/04/07 12:42
- その他(行政) e-govで必要な電子証明書について 1 2022/08/20 22:56
- その他(ブラウザ) 【SBI証券】パソコン使うたびデバイス認証を求められる 4 2023/09/25 22:54
- 政治 マイナンバーカードは、インドでは大成功しています。自民党はインド人に負けましたね? 3 2023/06/29 15:53
このQ&Aを見た人はこんなQ&Aも見ています
-
性格の違いは生まれた順番で決まる?長男長女・中間子・末っ子・一人っ子の性格の傾向
同じ環境で生まれ育っても、生まれ順で性格は違うものなのだろうか。家庭教育研究家の田宮由美さんに教えてもらった。
-
ものづくりに向いているプログラミング言語ってなんですか?家電にもプログラミングが使われてるとか
その他(プログラミング・Web制作)
-
ホームページのHTTPS化
SSL・HTTPS
-
VBA(えくせる)ってなんでメンテできない人が多いんですか?
Excel(エクセル)
-
-
4
CPUの使用率やメモリの使用率やストレージの使用率が100%になるとCPUやメモリやストレージが壊れ
その他(コンピューター・テクノロジー)
-
5
プログラミングで詰まった時って皆さんどうしていますか?
その他(プログラミング・Web制作)
-
6
IPアドレスだけでハッキングは可能でしょうか?
ハッキング・フィッシング詐欺
-
7
二段階認証って
その他(セキュリティ)
-
8
MacのPythonでの開発について
その他(プログラミング・Web制作)
-
9
他のLinuxでも動くa.outの作り方
UNIX・Linux
-
10
諸事情があり電話番号を変更する予定ですが、登録したもの全てを変更しないと今使っている番号を他の人が使
その他(セキュリティ)
-
11
リモートデスクトップでクライアントのUSBデバイスを使いたい
ネットワーク
-
12
パソコンの寿命 パソコンの寿命は、どれくらいでしょうか? メーカーや個体差はあると思います。 長持ち
ノートパソコン
-
13
[C言語]fputsとfprintfの違い
C言語・C++・C#
-
14
ITの見積もりってなんであんなに高いんですか? 原価がかからないのに
その他(ソフトウェア)
-
15
サーバーについて サーバーの仕組みがわかりません例えばgooleって外国のサーバーを経由してるんでし
サーバー
-
16
\\キーでの漢字入力解除について
その他(コンピューター・テクノロジー)
-
17
コマンドプロンプトについて。
C言語・C++・C#
-
18
int関数について。
Excel(エクセル)
-
19
スマホのウイルスって聞いたこと無いから普通に使う分には何もいらないんじゃない?
SSL・HTTPS
-
20
ファイルのハッシュ値をパソコンを使わずスマホで知る方法を教えて下さい!
その他(コンピューター・テクノロジー)
関連するカテゴリからQ&Aを探す
おすすめ情報
このQ&Aを見た人がよく見るQ&A
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
スペースデスクというアプリは...
-
Microsoft Edgeでページが開け...
-
iiyama ProLite XUB2390HSの起...
-
Webゆうパックプリントとプリン...
-
掲示板サイトへの書き込みがで...
-
Webサーバ(yuzu.uja.or.jp)に...
-
httpをhttpsにしたい
-
PC Cleaner
-
WebサイトのHTMLオブジェクトの...
-
ウェブサイト利用者が自分でhtt...
-
パソコンのパスワードについて
-
httpd IPアドレスによるアクセ...
-
ホームページをSSL化するのに、...
-
SSL対応なのにhttp://で入力し...
-
無線LAN設定時の通信について
-
有線LAN のセキュリティについて
-
マインクラフト ポート開放につ...
-
iPhoneだけでできる、iXpand Sl...
-
三井住友カードについて質問です。
-
セキュリティが軟弱過ぎてる件
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
LinkStationへのアクセスログ...
-
デジタル証明書の仕組みについて
-
Proxy Errorってどう対処したら...
-
パラメータが不足しています ...
-
「プロキシサーバーをバイパス...
-
自作のウェブサイトを友人に見...
-
Power User と Administrator ...
-
共有アクセス許可のEveryoneに...
-
Windows Server2019 普段用にwi...
-
IPアドレス(数列)だけでWEBサ...
-
19インチラック設置について
-
会社で禁止されているWEBページ...
-
大学で 利用ログはすべて記録さ...
-
Tera Termが接続できない
-
例えば、Yahoo!Japanトップペ...
-
フォルダにロックをかけたい。
-
最終アクセス日時を削除したい。
-
みなさんが私の立場ならどうし...
-
中小企業や10人程度のサーバー...
-
ボディーメイクについて質問で...
おすすめ情報