- PR -

SSLの下りの暗号化のセキュリティ

参照元記事 | 同じ記事を参照しているスレッド一覧
1
投稿者投稿内容
hypergori
会議室デビュー日: 2004/01/20
投稿数: 19
投稿日時: 2004-01-20 16:04
セキュリティ初心者です。
@ITのフォーラムで、SSLについて調べたのですが、WEBアプリで、
サーバー側にのみ、電子証明書と鍵をもったばあい、
(クライアント(ユーザー)側はもたない)

通信の双方向で、暗号化されるおもうのですが(まだ確信なし下りもされる?)、
上り(サーバー行き)の暗号文は、秘密鍵でのみ複合化可能。
下り(ブラウザー行き)の暗号文は、公開鍵でのみ複合化可能となるとおもいます。
そこで、下りの通信パケットに、重要な情報があった場合、
公開鍵をもちいて、盗聴が可能かとおもわれるのですが正しいでしょうか?

上りにも下りにも、重要な情報があるような場合は、クライアントにも
証明書を持ってもらわなければならないということなのでしょうか?

よろしくお願いいたします。
あんとれ
ぬし
会議室デビュー日: 2004/01/14
投稿数: 556
投稿日時: 2004-01-20 21:26
SSLのサーバ鍵は、サーバ認証(サーバが自分の秘密鍵で署名を作成し、サーバからクライアントへ)と共通鍵の交換(クライアントが作成した共通鍵をサーバの公開鍵で暗号化して、クライアントからサーバへ)のために使用されるのだったかと思います。
ですから、実際のデータ通信には交換した共通鍵(秘密鍵暗号方式、主にRC4が使用されます。もちろんサーバの公開鍵とは全く異なり、セキュリティを強化するために、数分おきに作り替えられます)が使用されるわけで、公開鍵を用いても盗聴することはできません。

ちなみに、クライアント証明書は主にユーザ認証や暗号化メール(S/MIME)などのために使われます。
hypergori
会議室デビュー日: 2004/01/20
投稿数: 19
投稿日時: 2004-01-21 08:46
返信ありがとうございました。
クライアント認証なしでも、クライアント側で、
鍵の生成を行うのですね。なるほど。もうすこし、
踏み込んだところまで、調べてみようとおもいます。

ありがとうございました。助かりました。

記事を発見しました。SSLは、公開/秘密鍵+共通鍵の両方を使って
いるのですね。SSL=”共通鍵は使わずに、公開/秘密鍵”という
イメージが、こびりついていました。すっきりしました。
http://www.atmarkit.co.jp/flinux/rensai/apache12/apache12a.html


[ メッセージ編集済み 編集者: hypergori 編集日時 2004-01-21 09:34 ]

[ メッセージ編集済み 編集者: hypergori 編集日時 2004-01-21 09:42 ]
1

スキルアップ/キャリアアップ(JOB@IT)