デジタル証明書の仕組みについて、以下のサイトを読んで勉強していますが、分からない点がいくつか有り、ご教示いただきたく、質問投稿させて頂きました。
https://milestone-of-se.nesuke.com/sv-advanced/d …
(1)
「デジタル証明書本体は、インターネットに公開して使うのが一般的であり、その元となる CSR は公開されても構わない」とあるのですが、認証局へメール連絡時にCSRのすり替えやなりすましがされたり、公開されたデジタル証明書を入手し使い回してなりすましする行為はないのでしょうか?
(2)
「中間認証局の公開鍵を使って電子署名を復号化し、実際のデジタル証明書のハッシュ値を計算したものと比較し」とありますが、どのハッシュ関数を使用しているかが分からないと比較検証出来ないと思いますが、どのようにハッシュ関数は共有されるのでしょうか?
(3)
「ルート認証局についてはあらかじめ、もしくは手動でインストールされている。」について、ルート認証局の公開鍵の正当性はルート認証局の自己署名なのでハッシュ値を辿る術がなく、ユーザーは事前にインストールして信頼するしかない、ということかと思いましたが、その理解で正しいでしょうか?
No.2ベストアンサー
- 回答日時:
(1) 後半のなりすましの話
Aさんが「私の公開鍵はXXだ」と言ってるのを盗んで、Bさんが「私の公開鍵はXXだ」と言うのは当然可能です。が、BさんはXXに対応する秘密鍵を持ってないので、そのあとどうしようも無いです。
Aさんが「私の銀行口座はXXだ。給与はここに振り込んで」と会社に届けたのそ知ったBさんが「私の銀行口座はXXだ。給与はここに振り込んで」と届けるのは可能です。が、AさんのXX口座のキャッシュカードや暗証番号が無い限りどうしようも無いのと同じです。
(1) 前半の登録時のすり替えの話
それは認証方式の問題じゃないのであり得ますね。ただし、登録後に確認すれば判明することです。
Aさんが「私の名前はA.私の銀行口座はXXだ。給与はここに振り込んで」と会社に届けたが、Bさんがその届け出用紙を書き換えて「私の名前はA.私の銀行口座はYYだ。給与はここに振り込んで」と自分の口座番号YYを届けたら、Aさんの給料をだまし取れます。すぐばれるので、海外逃亡か地下に潜るか。
この詐取に銀行の責任はゼロ。
(2) ハッシュ関数は方式ごとに決まっているか、あるいは複数使える場合はハッシュ化後のデータにハッシュ関数の名前相当を付加してそれごと渡します。
(3) はい。ルート認証局は無条件に信頼するしか無いです。
https方面の話なら、OSベンダーや、ブラウザベンダーが信頼した物を組み込んでいます。こういう事件もありました。
https://internet.watch.impress.co.jp/docs/news/4 …
「前は信頼していたので組み込んだが、その後信頼できないことが分かったので、削除した」ということですね。類似数件あったはず。
詳細な回答ありがとうございます。
理解いたしました。
(1)後半のご回答について、インシデントがあった記憶があり、記憶とは違う記事でしたが下記の場合があり得るかと思いました。こういったインシデントは稀ということなのでしょうか?
https://atmarkit.itmedia.co.jp/news/201103/24/co …
No.3
- 回答日時:
> (1)後半のご回答について、インシデントがあった記憶があり、記憶とは違う記事でしたが下記の場合があり得るかと思いました。
こういったインシデントは稀ということなのでしょうか?記事では「なりすましで認証局にログイン、電子証明書を不正発行」となっているので、秘密鍵と公開鍵のペアが悪人に渡ったと言うことかと思います。秘密鍵がばれれば、なりすましは可能ですね。
銀行の例だとキャッシュカードと暗証番号ごと相手に渡った場合です。
この不正発行自体は、
> 攻撃者は、南ヨーロッパのあるパートナーのユーザー名とパスワードを取得し、証明書発行時の審査を行うRA(登録局)にログイン。
ということなので、ユーザー名とパスワードがそろってばれた相手の行為なので、発行自体は正当で、発行された証明書は本物ですね。取り消されるまでは。
たとえばgoo.ne.jpの証明書の秘密鍵公開鍵を入手したとします。それでウェブサイトを作っても、一般の人は、https://goo.ne.jp でそのサイトに来ませんが、DNSポイズニングや、偽の公衆Wifiアクセスポイントと組み合わせると、https://goo.ne.jp で、その偽サイトにアクセスさせることは可能でしょう。そうなると証明書は本物なので、端末のブラウザに組み込まれたルート証明書からたどれて、普通に表示されます。
(証明書無しで、単に偽の公衆Wifiアクセスポイントを作って、goo.ne.jpを自分のサーバーのIPアドレスに誘導しても、http://goo.ne.jpだとばれませんが、https://goo.ne.jp だと端末のルート証明書からたどれる証明書じゃ無いので、「オレオレ証明書だ」とか「証明書とドメイン名が合わない」的な何らかのエラー画面になるはず。まあ、「危険を承知でアクセスする」をクリックするとアクセスできたりしますが。「公衆Wifiでもhttpsなら安心」というのはそういうことですが、正規証明書が盗まれるとそうも言えません。)
(1)の後半は「公開されている証明書情報」を使ってなりすましが出来るか?なので、上記はそれと別の話です。公開されてない秘密鍵も必要です。
No.1
- 回答日時:
自分がドメイン認証申請した経験からなので、間違っているかもしれませんが・・・
(1)メールのすり替えやなりすましができるのであれば、デジタル証明書も怪しくなりそうですね。ただ、CSRが公開されたのみなら、記載どうり問題ないと思います。
(2)比較検証のソフトを自作するなら別ですが、そうでないなら、ユーザとしてはハッシュ関数がどうなっているかは気にしないでもいいのでは?
(3)ルート認証局については、ユーザ側としてはそれを信じるしかないでしょうね。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- 政治 日本のマイカードはあまりに遅すぎです 7 2023/04/02 18:36
- 格安スマホ・SIMフリースマホ SMS認証用の電話番号が欲しい 6 2022/06/12 18:21
- その他(保険) シャープと共同開発した「BCG高性能JH-WB182Eの保証書」に関しての疑義 3 2023/05/22 15:01
- ハッキング・フィッシング詐欺 Airbnb セルフチェックの宿の個人確認について 1 2022/05/08 10:12
- 哲学 フォルダによる本質証明と述語証明 2 2023/10/10 00:53
- その他(セキュリティ) デジタル署名について 4 2022/08/12 14:54
- 日本語 心証という熟語について 5 2023/04/07 12:42
- その他(行政) e-govで必要な電子証明書について 1 2022/08/20 22:56
- その他(ブラウザ) 【SBI証券】パソコン使うたびデバイス認証を求められる 4 2023/09/25 22:54
- 政治 マイナンバーカードは、インドでは大成功しています。自民党はインド人に負けましたね? 3 2023/06/29 15:53
このQ&Aを見た人はこんなQ&Aも見ています
-
外出時に「待たせる妻」vs イライラする「待つ夫」は日本だけ?見習いたい海外事情
夫の家事参加に積極的なイメージのある海外でも、同様の事例はあるのか。結婚カウンセラーの佐竹悦子さんに伺ってみた。
-
ものづくりに向いているプログラミング言語ってなんですか?家電にもプログラミングが使われてるとか
その他(プログラミング・Web制作)
-
VBA(えくせる)ってなんでメンテできない人が多いんですか?
Excel(エクセル)
-
ホームページのHTTPS化
SSL・HTTPS
-
-
4
Javaって使いますか、もう古いですか?C++とどっちがいいですか?分析でC++使う授業ありましたけ
C言語・C++・C#
-
5
CPUの使用率やメモリの使用率やストレージの使用率が100%になるとCPUやメモリやストレージが壊れ
その他(コンピューター・テクノロジー)
-
6
プログラミングで詰まった時って皆さんどうしていますか?
その他(プログラミング・Web制作)
-
7
二段階認証って
その他(セキュリティ)
-
8
IPアドレスだけでハッキングは可能でしょうか?
ハッキング・フィッシング詐欺
-
9
MacのPythonでの開発について
その他(プログラミング・Web制作)
-
10
諸事情があり電話番号を変更する予定ですが、登録したもの全てを変更しないと今使っている番号を他の人が使
その他(セキュリティ)
-
11
他のLinuxでも動くa.outの作り方
UNIX・Linux
-
12
リモートデスクトップでクライアントのUSBデバイスを使いたい
ネットワーク
-
13
パソコンの寿命 パソコンの寿命は、どれくらいでしょうか? メーカーや個体差はあると思います。 長持ち
ノートパソコン
-
14
[C言語]fputsとfprintfの違い
C言語・C++・C#
-
15
テキストエディタvscodeでプログラミングしているのですが、 コメントアウトだけを折りたたむ、非表
その他(プログラミング・Web制作)
-
16
サーバーについて サーバーの仕組みがわかりません例えばgooleって外国のサーバーを経由してるんでし
サーバー
-
17
SFTPなどは使わないホームページやプログラムファイルの公開方法
PHP
-
18
Windows10が11になるのはいつ?
Windows 10
-
19
\\キーでの漢字入力解除について
その他(コンピューター・テクノロジー)
-
20
スマホのウイルスって聞いたこと無いから普通に使う分には何もいらないんじゃない?
SSL・HTTPS
関連するカテゴリからQ&Aを探す
おすすめ情報
このQ&Aを見た人がよく見るQ&A
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
デジタル証明書の仕組みについて
-
LinkStationへのアクセスログ...
-
19インチラック設置について
-
みなさんが私の立場ならどうし...
-
Proxy Errorってどう対処したら...
-
自作のウェブサイトを友人に見...
-
パラメータが不足しています ...
-
ボディーメイクについて質問で...
-
Power User と Administrator ...
-
共有アクセス許可のEveryoneに...
-
Tera Termが接続できない
-
掲示板に書き込みをしようとす...
-
webbrowserで個別に認証付きプ...
-
「プロキシサーバーをバイパス...
-
IPアドレスが下二桁だけ変わる
-
VNCの複数利用の方法
-
自分以外のレジストリーを参照...
-
意味の違い ホスト名とサーバー名
-
マイドキュメントをDドライブ...
-
everyoneがフルコンなら誰でも...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
LinkStationへのアクセスログ...
-
デジタル証明書の仕組みについて
-
[Postfix]SMTP-AUTH
-
パラメータが不足しています ...
-
Proxy Errorってどう対処したら...
-
Power User と Administrator ...
-
「プロキシサーバーをバイパス...
-
アマゾンからの不正アクセス? ...
-
共有アクセス許可のEveryoneに...
-
フォルダにロックをかけたい。
-
Windows Server2019 普段用にwi...
-
IPアドレス(数列)だけでWEBサ...
-
everyoneがフルコンなら誰でも...
-
会社で禁止されているWEBページ...
-
大正製薬が発表したアライは購...
-
最終アクセス日時を削除したい。
-
中小企業や10人程度のサーバー...
-
携帯ショップ定員が氏名と電話...
-
プロキシ経由でインターネット...
-
今まで4Gで問題なく使えていま...
おすすめ情報