httpではパスワードが共通鍵になるとの理解ですが、

httpではパスワードが共通鍵になるとの理解ですが、
（１）パスワードを登録するとき
と
（２）パスワードを使うとき
それぞれについて、
パスワードがどのように送信されてるのか（登録時は裸で送信？、ハッシュ値を送ってパスワードが正しいかどうか照合？）について教えてください。

No.2 ベストアンサー 回答者： 0909union 回答日時： 2010/09/24 18:28

＞httpではパスワードが共通鍵

意味不明な質問ですね。共通鍵とはなにをさしているのでしょうか？

PKIの共通鍵でしょうか？

PKIとすれば、暗号化通信のときにしか、Webサーバーとしての機能は働きません。No1の方が回答したとおりになります。

ただ、認証にはこれだけではないので、HTTPでも、Windowsとの統合認証を使えば、Windowsの認証の部分を暗号化した高度なセキュリティーに設定すれば、認証は暗号化通信がおこなれます。

しかし、認証だけ暗号化されていてもね？

と言うことで、どのような方法（HTMLのform送信、クライアント証明書での認証、などシステムのアーキティクチャー）での認証を考えているのか書かないとだめですよね。

で一応、クライアント証明書を使う場合、SSL通信がWebサーバーに設定されていないと、仕組みとして動作しません(設定ファイルに設定しても動作しませんよ)。

この回答への補足

　http://云々で、
ログインなどのために（登録済みの）パスワードの入力を求められる際、
当該パスワードは共通鍵としてクライアントとサーバが保有していて、クライアントは当該パスワードにより平文を暗号化して送り、サーバは同じく当該パスワードにより復号する、
この仕組みを、パスワードが共通鍵であると表現しました。

　「HTMLのform送信」ということで、よろしくお願いします。

補足日時：2010/09/24 18:54

No.1 回答者： g_liar 回答日時： 2010/09/24 14:36

登録時・使用時関係なく、クライアント（個人が使っているパソコン）とサーバ間の通信が「http」なら暗号化もなにもされず入力したパスワードが平文で送信されます。

クライアント－サーバ間の通信がSSL（＝https）なら暗号化されて送信されます。