- PR -

SSLでも「なりすまし」

投稿者投稿内容
甕星
ぬし
会議室デビュー日: 2003/03/07
投稿数: 1185
お住まい・勤務地: 湖の見える丘の上
投稿日時: 2007-01-25 15:57
もっと具体的に書くか、専門用語の意味をきっちりと押さえた上で専門用語を使って質問してください。単純に「クライアント」と書いても、ユーザーから見たクライアント、サーバー管理者から見たクライアント、攻撃者から見たクライアントは意味が違いますよね。その辺りを曖昧のまま、同じ台詞を繰り返されても、さっぱり意味不明です。

なぜ相手に伝わらないのか考えてみてください。
はからずも
会議室デビュー日: 2007/01/25
投稿数: 8
投稿日時: 2007-01-25 15:58
[quote]
BackDoorさんの書き込み (2007-01-25 15:49) より:
引用:
はからずもさんの書き込み (2007-01-25 15:38) より:
# 相手の確認が取れないとSSL通信は始まらないのですが・・・。



わざわざご指示頂いて助かります。
いえ、確認が取れ、すでに通信が確立している場合での懸念です。

たとえば共通鍵の段階まで移行していて、クライアントからのデータを奪ってクライアントになりすますことはできないでしょうか?

それとも共通鍵の破棄と同様、デジタル証明書の確認もセッション毎に行われるのでしょうか?
サーバリソースの観点から、それはありえないと勝手に思いこんでますが。
どせい
大ベテラン
会議室デビュー日: 2006/10/25
投稿数: 145
投稿日時: 2007-01-25 16:18
引用:

はからずもさんの書き込み (2007-01-25 15:58) より:
わざわざご指示頂いて助かります。
いえ、確認が取れ、すでに通信が確立している場合での懸念です。

たとえば共通鍵の段階まで移行していて、クライアントからのデータを奪ってクライアントになりすますことはできないでしょうか?

それとも共通鍵の破棄と同様、デジタル証明書の確認もセッション毎に行われるのでしょうか?
サーバリソースの観点から、それはありえないと勝手に思いこんでますが。


基本的な理解の不足が原因の「オレオレ推論」の展開。
これを防ぐには、基本的な事から順を追って理解を深めることが最適だと思うよ。


[ メッセージ編集済み 編集者: どせい 編集日時 2007-01-25 16:20 ]
nagise
ぬし
会議室デビュー日: 2006/05/19
投稿数: 1141
投稿日時: 2007-01-25 16:34
引用:

はからずもさんの書き込み (2007-01-25 15:58) より:
たとえば共通鍵の段階まで移行していて、クライアントからのデータを奪ってクライアントになりすますことはできないでしょうか?



論理的には可能、現実的には不可能なのでは。
無限のMIPS値を持つスパコンでもあれば乗っ取れるんじゃないでしょうか。
稀にその敷居を低くするような脆弱性が発見されてニュースになったりしてますね。
日常的にそれが可能ならSSLを誰が使うのでしょうか。

# この手の話題になるたびに自分の理解が合っているか不安になって確認していたり。
angel
ぬし
会議室デビュー日: 2005/03/17
投稿数: 711
投稿日時: 2007-01-25 16:38
はからずもさんの考えているSSLの仕組みを詳細に説明して、その上でどこに問題が起こり得るかを示さないと、話が通じないでしょうね。

個人的には、せめて Man in the middle attack ( 中間者攻撃 ) のことは勉強した方が良いだろうと思います。

[joke]
で、皆さん誤解されていますが、SSLの認証とはサイバーパテントデスクであることを保証する機能ですよ。
[/joke]
はしもと
大ベテラン
会議室デビュー日: 2003/02/05
投稿数: 182
投稿日時: 2007-01-25 16:42
引用:
はからずもさんの書き込み (2007-01-25 14:38) より:

例えばIDとパスワードを持つデータを傍受した場合、復号化出来なくても、データをそのまま本来の宛先へ送ってしまえば、認証は通っちゃいませんか?
あとは普通にセッションID受け取って・・・など。



ID とパスワードを持つデータが復号化出来ないなら、
他のどのパケットを受け取っても復号化出来ないですよね。
受け取ったセッション ID とやらだって復号化できない。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-01-25 17:15
割と時間的な余裕はありますが全くの暇人ではありません。

引用:
はからずもさんの書き込み (2007-01-25 15:58) より:

いえ、確認が取れ、すでに通信が確立している場合での懸念です。

たとえば共通鍵の段階まで移行していて、クライアントからのデータを奪ってクライアントになりすますことはできないでしょうか?


セッションが確立された段階で相手方アドレスは固定されるのですが、そこに
どのような方法で割り込めるとお考えなのでしょうか?

心配されている内容の技術背景が全く理解できませんので、ここまでで失礼します。
はからずも
会議室デビュー日: 2007/01/25
投稿数: 8
投稿日時: 2007-01-25 18:00
>割と時間的な余裕はありますが全くの暇人ではありません。
>心配されている内容の技術背景が全く理解できませんので、ここまでで失礼します。

それならば、あえて返す必要もないでしょうに・・・。
ワザワザそんな事言及しなくとも・・・、非難がましいですね。

どうも素人が質問できるような場所ではないようですね。
専門から離れりゃ誰だってトウシロなのに。

たかがクライアント、サーバーで
http://e-words.jp/w/E382AFE383A9E382A4E382A2E383B3E38388.html
http://d.hatena.ne.jp/keyword/%A5%AF%A5%E9%A5%A4%A5%A2%A5%F3%A5%C8
http://e-words.jp/w/E382B5E383BCE38390.html
http://d.hatena.ne.jp/keyword/%A5%B5%A1%BC%A5%D0
上記URLですらこんな程度なのに、それ以上勉強しなければ、ダメなようで。

批判的、排他的なものを感じずにはいられませんね。

お陰で色々勉強できましたわ。どうも助かりました。

スキルアップ/キャリアアップ(JOB@IT)