2008年05月17日
セキュリティーの話が出たんでついでに。
SLのフィッシング詐欺で実害が報告されているのは、公式サイトでも取り上げられていますが、ここで、最近ホントに耳にする電子証明書についてちょっとわかりやすくお話ししましょう。
なんでそもそも通信が安全ではないんだろう?そう思いますよね?
簡単な話、インターネットで一番目にするのはHTTP。つまりウェブです。
銀行だろうと、オークションサイトだろうと、ウェブメールだろうとそこには必ずウェブページが存在します。HTTPというのは、WEBページを通信するための信号のようなもの。ところがですね、このHTTPを使って送信するHTMLで書かれたウェブは別にブラウザでなくても、普通のワープロソフトでも読むことは可能です。ただの文章に近く、LSLの様にバイトコードに変換されてるわけでもありません。
ブラウザからページのソースを表示すれば、こうした直接ユーザーが書いてる内容以外は、ウェブページに書かれてある内容は丸見えです。
HTMLは立派なプログラム言語ですが、一番問題なのは書いてある内容を解読が容易だということ。これは改ざんもラクに行えることを意味します。それがパスワード入力画面で合っても・・。
例えば銀行のサイトで口座にいくらあるのか確かめたくて、ログインしようとしますよね。トップページから”ログイン”のボタンをクリックして次に開くページが「銀行ではなく第三者が偽装した偽のページ」だったとしても、普通のユーザーがそれを確かめる手段は、そう多くはありません。
今のところFlashで作られたサイト以外で、こうしたコードを隠す手段はありません。(HTML自体を暗号化するソフトも海外にあります。ただし普及してません。)
そこで、そのページやそのサイトを安全ですよと何かで証明できれば・・・そうなるわけです。
それが電子署名や証明書と呼ばれるものです。
具体的な仕組みをわかりやすく解説しますと、次のような事を書かれた紙切れをあなたが友達から渡されたとします。
「13.715.249は2つの数字をかけたものだよ。2つの数字がわかったら、君とは話すよ」
まあ普通わかりませんよね。実はこれは2.389と5.741をかけた合計なんですが、このように答えからではその前の処理を推測することが出来ない状態になってる事を利用し、「それは2.389と5.741だね。ボクは2.389をその問題を作った人から教えてもらったんだぁー^^」これで会話が成立。ヨカッタ。
元の2つの数字のどちらかを会社名と合わせて第三者機関がキチンと管理し、もう一つはユーザーに持ってもらってHTTPと共に一方が、管理されてる証明を相手に送り、2つをかけた数字の答えになっているときだけ「これはA社のウェブページに間違いないよ」と確信できる・・。
こういうのを難しい言葉を使うと公開鍵方式というんですが、上記のようなやり取りを行うシステムこそSSL通信と呼ばれる方法なのです。よくアドレスバーが黄色くなってる例の”アレ”です。
この第三者機関にあたるのがCAという認証局。前回書いたベリサインなどがそうです。
証明書を発行してもらうと、確実に信用できますということでそのウェブページは信頼が置けるということになりますが、その代わり審査基準もまた厳しく、手続きして証明書の発行をもらうには、時間もお金もかかります。
この認証局には階層がありまして、一番エライのがルート認証局といって既にウィンドウズなどのインターネット・エクスプローラーなどのブラウザには既に登録されています。
肝心なのはこの証明書はルート認証局の”子分”でも構わないのですが、絶対条件なのは「ルート認証局が認めた子分の認証局」でないとダメ!!ということ。それ以外は「意味ありません」
嘘つきから「正しいページですよ」といわれて「ああそうですか、それじゃ安心」ってアホですよね。
こうでもしないと、自分の書いたものを証明できないので、「へタスりゃいつでも信用を失うのがインターネット」・・うーん。怖いですねぇ。
リンデンのサイトを見ると、パスワードを入力する画面は必ずSSLになってますが、気がつきませんよね?それはチャンとブラウザに登録されてるルート認証局かその下の子分認証局から証明書を頂いてるからで、逆にそうじゃない場合、つまりいわゆる「ナンチャッテ認証局」の場合、IEでは厳しく警告されます。
「キサマなんぞはシラネー輩だな。てことで見るならそれなりに覚悟しろヨ」といわんばかり^^;
またSSL通信で確立されたページを移動すると「安全なページから去ろうとしています。移動しますか?」という確認の警告がでますので、認証を行う前と認証を行うページをSSLで守れば効率的というわけです。
SSLは暗号化技術だから安心とかいってる”ヌルイ”方がいますが、CAを通さないSSLはなんの意味もありません。(フィッシングサイトじゃないっていう証明は出来ない)今はどうか知りませんが、この「ナンチャッテ認証局」、一時期地方自治体で流行ってたらしく、しかも「国」が推奨してたとか・・・・・。
IT立国ねぇ・・・・・・
なんでそもそも通信が安全ではないんだろう?そう思いますよね?
簡単な話、インターネットで一番目にするのはHTTP。つまりウェブです。
銀行だろうと、オークションサイトだろうと、ウェブメールだろうとそこには必ずウェブページが存在します。HTTPというのは、WEBページを通信するための信号のようなもの。ところがですね、このHTTPを使って送信するHTMLで書かれたウェブは別にブラウザでなくても、普通のワープロソフトでも読むことは可能です。ただの文章に近く、LSLの様にバイトコードに変換されてるわけでもありません。
ブラウザからページのソースを表示すれば、こうした直接ユーザーが書いてる内容以外は、ウェブページに書かれてある内容は丸見えです。
HTMLは立派なプログラム言語ですが、一番問題なのは書いてある内容を解読が容易だということ。これは改ざんもラクに行えることを意味します。それがパスワード入力画面で合っても・・。
例えば銀行のサイトで口座にいくらあるのか確かめたくて、ログインしようとしますよね。トップページから”ログイン”のボタンをクリックして次に開くページが「銀行ではなく第三者が偽装した偽のページ」だったとしても、普通のユーザーがそれを確かめる手段は、そう多くはありません。
今のところFlashで作られたサイト以外で、こうしたコードを隠す手段はありません。(HTML自体を暗号化するソフトも海外にあります。ただし普及してません。)
そこで、そのページやそのサイトを安全ですよと何かで証明できれば・・・そうなるわけです。
それが電子署名や証明書と呼ばれるものです。
具体的な仕組みをわかりやすく解説しますと、次のような事を書かれた紙切れをあなたが友達から渡されたとします。
「13.715.249は2つの数字をかけたものだよ。2つの数字がわかったら、君とは話すよ」
まあ普通わかりませんよね。実はこれは2.389と5.741をかけた合計なんですが、このように答えからではその前の処理を推測することが出来ない状態になってる事を利用し、「それは2.389と5.741だね。ボクは2.389をその問題を作った人から教えてもらったんだぁー^^」これで会話が成立。ヨカッタ。
元の2つの数字のどちらかを会社名と合わせて第三者機関がキチンと管理し、もう一つはユーザーに持ってもらってHTTPと共に一方が、管理されてる証明を相手に送り、2つをかけた数字の答えになっているときだけ「これはA社のウェブページに間違いないよ」と確信できる・・。
こういうのを難しい言葉を使うと公開鍵方式というんですが、上記のようなやり取りを行うシステムこそSSL通信と呼ばれる方法なのです。よくアドレスバーが黄色くなってる例の”アレ”です。
この第三者機関にあたるのがCAという認証局。前回書いたベリサインなどがそうです。
証明書を発行してもらうと、確実に信用できますということでそのウェブページは信頼が置けるということになりますが、その代わり審査基準もまた厳しく、手続きして証明書の発行をもらうには、時間もお金もかかります。
この認証局には階層がありまして、一番エライのがルート認証局といって既にウィンドウズなどのインターネット・エクスプローラーなどのブラウザには既に登録されています。
肝心なのはこの証明書はルート認証局の”子分”でも構わないのですが、絶対条件なのは「ルート認証局が認めた子分の認証局」でないとダメ!!ということ。それ以外は「意味ありません」
嘘つきから「正しいページですよ」といわれて「ああそうですか、それじゃ安心」ってアホですよね。
こうでもしないと、自分の書いたものを証明できないので、「へタスりゃいつでも信用を失うのがインターネット」・・うーん。怖いですねぇ。
リンデンのサイトを見ると、パスワードを入力する画面は必ずSSLになってますが、気がつきませんよね?それはチャンとブラウザに登録されてるルート認証局かその下の子分認証局から証明書を頂いてるからで、逆にそうじゃない場合、つまりいわゆる「ナンチャッテ認証局」の場合、IEでは厳しく警告されます。
「キサマなんぞはシラネー輩だな。てことで見るならそれなりに覚悟しろヨ」といわんばかり^^;
またSSL通信で確立されたページを移動すると「安全なページから去ろうとしています。移動しますか?」という確認の警告がでますので、認証を行う前と認証を行うページをSSLで守れば効率的というわけです。
SSLは暗号化技術だから安心とかいってる”ヌルイ”方がいますが、CAを通さないSSLはなんの意味もありません。(フィッシングサイトじゃないっていう証明は出来ない)今はどうか知りませんが、この「ナンチャッテ認証局」、一時期地方自治体で流行ってたらしく、しかも「国」が推奨してたとか・・・・・。
IT立国ねぇ・・・・・・
