SSLについて

Question

SSLによる通信では入力情報が第三者に読み取られる危険性はないのですか？

black_junker · Accepted Answer

こんばんは。

以下がSSL/TLSのセッションシーケンスを示したものです。現在ではTLS 1.0を利用してるところが多いようです。

http://www.chuu-information.com/security/decode_7.html

参考までにここOKWaveに私が先ほどアクセスしたときのパケットキャプチャしたログを下部画像でお見せします。

で、TCPの通信ではコネクションと呼ばれる論理的な経路を用いるのですが、その経路上においては確かに情報を読み取ることはできないので安全です。が、しかしです。

キーロガーなどのまさに今入力している情報を盗むマルウェアにおいては効力ないです。

black_junker · Answer

#6です。

すいません。

また画像が見にくいようですので再度　＾＾；

mika24asuka · Answer

SSLの意味　辞書から引用をしています。
http://e-words.jp/w/SSL.html
サーバー証明書ってなに
https://www.sslcerts.jp/
SSL暗号化をされた証明書を解読するのは不可能。

seadragon · Answer

現在のマルウェアは概ね犯罪目的で作成されています。
従って犯罪テロ産業複合体の収益を上げるためなら
何でもします。
参考：ウイルス新時代に備える
http://pc.nikkeibp.co.jp/article/basic/20120529/1050904/?set=ml1

「鍵マークが出ても過信は禁物」、SSLサイト悪用のフィッシングが急増
http://pc.nikkeibp.co.jp/article/news/20090709/1016776/
「ワンタイムパスワードでも防げない」、ブラウザーの乗っ取りが急増
http://pc.nikkeibp.co.jp/article/news/20090929/1019012/?rt=nocnt
攻撃先の拡大と機能強化が続くバンキングトロイの動向
http://www.itmedia.co.jp/enterprise/articles/1303/04/news110.html

などにあるように従来安全とされていたものでも現在では
リスクが高まってきています。
SSLが絶対安全だったのももう昔の話です。
過信は禁物です。

※紹介したリンク先は投稿時にReturnil Virtual System 2010
Enterprise Classic有効状態下
Panda Cloud Office Protection、Symantec AntiVirus ScanEngine、
Webroot SecureAnywhere Internet Security Plus、
McAfee SiteAdvisor Enterprise Plusの最新状態下にてチェック
済みですがその安全性を保証するものではありません。
（主に仮想環境のため）
現在、ウイルスやマルウェアを100%検出するための解決策は何
もありません。また、投稿時以降にサイト改竄されている可能性
もあり得ます。
また
◆サイバー犯罪はマルチプラットフォームの時代へ
http://www.f-secure.com/ja/web/home_jp/news-info/product-news-offers/view/story/889755/
にもありますが、Windows以外のOSが安全だったのももうはるか
遠い昔の話です。
参考：
iOSに新たな脅威、Facebookを乗っ取りの可能性も
http://techtarget.itmedia.co.jp/tt/news/1305/13/news08.html
Macを狙う標的型スパイウェア出現、正規のApple Developer IDを利用
http://www.itmedia.co.jp/news/articles/1305/23/news031.html

特にMacの旧バージョンはWindows以上にハイリスクという指摘
もありますので、細心の注意の上閲覧して頂きますようにお願
いします。
参考：
アップデートから取り残されたMacの行く末、Appleの責任を問う声も
http://www.itmedia.co.jp/news/articles/1208/02/news021.html

尚、ウイルス対策ソフトの導入は、最も重要なセキュリティ
対策の一つですが、その全てではなく一部分に過ぎません。
複合攻撃が増えているので相応の複合した対策が必要です。
最近の攻撃は脆弱性を利用したものが多いのでOSや対策ソフト
はもちろんPCに導入した全てのソフトを最新版にしておく事が
重要ですが、この攻撃も未知の脆弱性を利用したゼロディ攻撃
が増えているので要注意です。
「 知っていますか？"ゼロデイ攻撃" 」
http://www.ipa.go.jp/security/txt/2009/08outline.html#5
「対策のしおりシリーズ」
http://www.ipa.go.jp/security/antivirus/shiori.html
等にあるような基本的な対策するを実施することが最重要です。

こうした脆弱性対策は当然ながら、感染を前提とした出口対策
も重要です。
例えば、情報を暗号化しておけば漏洩しても影響は少ないです。
参考：暗号化ソフト徹底比較
http://www.angou-hikaku.com/

japaneseenglish · Answer

sslの仕組みは、簡単に説明すると以下のようになります。

(1)　相手サイトからデジタル証明書を受け取る。
　アクセスした瞬間に受け取り、そこには、公開暗号鍵のほか、サイト情報や有効期限、証明書の発行機関等が記載されています。

(2)　暗号鍵を作成する
　あなたのPCで暗号鍵を作ります。　暗号長が128ビットとか256ビットが通常で、人為的に作るものに比較して想像できないぐらい複雑な数字の羅列となります。

(3)　作成した暗号鍵を、暗号化してサイトに送付する
　(1)のデジタル証明書は「公開鍵」が含まれています。　この公開鍵使い(2)で自動作成した「暗号鍵」を暗号化して、サイトに送信します。　この公開鍵は、サイト側のサーバーに保存されている「秘密鍵」でのみ復号化できます。　秘密鍵は文字通り「秘密」で、サーバの管理者しかわかりません。

(4)　サイト側は、暗号化して送付されてきた「暗号鍵」を秘密鍵で復号かし、あなたのPCが作成した乱数を知ります。

(5)　これ移行は、あたなのPCとサーバ間の通信は、ずべて、あなたのPCで作成した乱数で暗号化して通信を行います。あなたがサイトに送信する情報も、サイトがあなたに送信してくる情報も、このあなたのpcで作成された乱数で暗号化して情報のやりとりをします。

(6)　通信が完了したら、あなたのPCも、相手のサイトも、互いの通信で利用した一個の乱数(暗号鍵)は破棄します。　二度とつかわれることはありません。　ブラウザを閉じた時点で「終結、破棄」されます。

これがsslの仕組みです。　あなたとサイトとの通信は、その場一回限りの乱数でしか暗号化しません。　二度と、その暗号に使用した乱数は使われません。

補足として2進数128桁で表現できる数字は、天文学的ぐらいに長いです。ましてや256桁の2進数などは想定外のおそらしく長い桁数です。　数学的にも解読するのは、ほとんど不可能です。　ましてや、その暗号通信は、おそろしく短い時間に一回限りしか使わないのです。　その後は破棄され二度と使われません。

te2kun · Answer

現在の暗号化って今のPCの性能だと解読に超時間がかかるから、問題ないだろうってものですよ

時間をかけたり、スパコンを使えば解読は可能。よって読み取れる

deltaufp · Answer

無いわけではないでしょうが、極めて0に近いといえると思います。

SSLについて

こんばんは。

この回答への補足

#6です。

この回答への補足

SSLの意味 辞書から引用をしています。

この回答への補足

現在のマルウェアは概ね犯罪目的で作成されています。

sslの仕組みは、簡単に説明すると以下のようになります。

この回答への補足

現在の暗号化って今のPCの性能だと解読に超時間がかかるから、問題ないだろうってものですよ

この回答への補足

無いわけではないでしょうが、極めて0に近いといえると思います。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

SSLの意味　辞書から引用をしています。