bbz

認証

_
previous | next | edit
1: Sat Mar 12 11:55:19 2016
PEAP, LEAP, CHAP, TLS, 証明書、802.1x, ...

どれがどういうもので、どういう分類なのかがさっぱりわからない。

2: Sat Mar 12 12:09:14 2016
どの言葉も全く初耳ではなく、なんとなくどういう場合に使われるのかはわかっているが、
プロトコルとかコマンドとかいうものはどれもそうだが、

こうするとこうなるのはわかるが、なぜこうでなければならず、ああではいけないのか、

というのがわからない。
3: Sat Mar 12 12:21:04 2016
認証ということは、誰でも日常的におこなっている。

まず銀行。

キャッシュカードをATMにいれて、数時4ケタの暗証番号を入力する。
これは、口座番号と暗証番号がセットになっている。

123456
1234

あるいは、口座番号には口座の種類、支店名、銀行番号なども付加されているかもしれない。

001-003-001-123456
1234

001...あああ銀行
003...神奈川支店
001・・・普通預金
123456...口座番号
1234...暗証番号


このセットを銀行のコンピュータ(の記憶装置)に記録しておき、
ATM操作時に照合して認証する。

これがもっとも簡単な認証であり、これならわかる。


問題は、この口座番号と暗証番号のセット(アカウント)は、
ATMと銀行の間で送受信されることだ。

つまり、新宿のコンビニのATMから、有楽町にある銀行のホストコンピューターまで、
何かしらの回線や装置を経由して伝達される。

誰かがその通信内容を覗き見たら、
それはハッカーとかいう極端な場合だけでなく、

たとえば経由する装置が故障して交換することになったとして、
その装置が通信内容を記録していて、
交換した後技術者がその内容をたまたま見てしまい、
ある口座の暗証番号がわかってしまう、
ということならけっこうありそうだ。
4: Sat Mar 12 12:36:10 2016
さらに、通信によってアカウント情報のような他人に知られると困る情報をやりとりする場合は、
そもそも通信相手が本当に自分が意図する相手なのかを確認する必要も出てくる。

銀行でいえば、銀行のコンピュータが客を識別するのはアカウントでできるが、
パソコンやスマホでインターネットを経由してあくせすした銀行のサイトが、
ほんとうにその銀行のものなのか、もしかして誰かが複製して、偽造したサイトではないか?
ということを確認する必要がある。

今はほとんどの人が、アドレス(URL)を入力せず、検索によって
情報にアクセスするから、いっそうその危険が増している。

5: Sat Mar 12 12:42:54 2016
そのために利用するのが証明書やHTTPSだ。

HTTPS(エイチティーティーピーエス)と、私はいつも言っているが、

正式名称は HTTP over SSL/TLS

SSL(Secure Sockets Layer)
TLS(Transport Layer Security)

SSL/TLSというのはトランスポート層でデータを暗号化するプロトコルで、
TLSというのがSSLを改良したもので、
現在使用されているのはTLSだが、SSLという呼び方が普及しているので
そのまま使われているとのことである。

https://www.symantec.com/ja/jp/page.jsp?id=ssl-tls

6: Sat Mar 12 12:45:22 2016
HTTPSについても、今は多くの人が利用している。

twitterとかfacebookなどのSNS...と書きかけて、

google検索した結果もhttpsとなっているのに気付いた。

これはgoogleアカウントでログインしているからだろう。

「ログイン」をともなうウェブサイトはまずhttpsになっている。

7: Sat Mar 12 12:46:11 2016
そして今は、なんでもログインするから、アマゾンでもヤフオクでもなんでも、
ほとんどの通信がHTTPS、つまり暗号化されている。
8: Sat Mar 12 12:51:26 2016
このときに使われるのが「証明書」である。

これはあまり意識することがないかもしれないが、https通信で使われていて、
ブラウザで内容を見ることもできる。

私は証明書を信用していないわけではないが、
いまだにどうして証明書でサイトが本物だと証明できるのかがよくわかっていない。

要は、ベリサインとかどこかの認証局が証明するということのようなのだが、

誰が証明したところでその人の信ぴょう性を疑っていけばきりがないからだ。

9: Sat Mar 12 12:52:58 2016
・・・と、

ものすごく基本的なことを整理したうえで、一気に本題に行く。

eap と peap と leap

これらの特徴と長所短所は何か。

10: Sat Mar 12 13:20:48 2016
EAP-TLS

最初の双方向認証。つまり、クライアントがサーバを、サーバがクライアントを認証する。
そのために双方で証明書を必要とする。


LEAP

Lightweight EAP 「軽い」EAP。
クライアントに証明書を必要とせず、
チャレンジ方式のパスワード認証をおこなう。

ということはEAP-TLSはパスワードを必要としないのか。


PEAP

Protected EAP

証明書によるサーバの認証をおこなった後トンネルを確立して
そのトンネル上でIDパスワードを送受信して認証する。
デファクトスタンダード。



11: Sat Mar 12 13:24:22 2016
LEAPは脆弱性が発見されていて普及していない。

TTLSというPEAPとほぼ同様のしくみのプロトコルがあるがこれも普及していない。

EAP-FASTというクライアント証明書が不要なCiscoの作ったプロトコルが後発であるが、
これも普及していない。

^
previous | next | edit