- PR -

PKI使っていますか?

1
投稿者投稿内容
zanjibar
ぬし
会議室デビュー日: 2001/10/30
投稿数: 309
投稿日時: 2004-03-07 00:04
Apache サーバの認証にdemoCAつくって、自分で、証明書発行して、
クライアント認証に使っています。証明書いれていないブラウザからは
アクセスできないようにしました。
結構便利だと思うのですが、使っている人いるでしょうか?
IPアドレスの制限よりも使い勝手がいいような気がします。


nishi
常連さん
会議室デビュー日: 2003/11/14
投稿数: 25
お住まい・勤務地: 大阪
投稿日時: 2004-03-08 09:33
SSLクライアント認証は非常に便利だと思いますよ。
クライアントの秘密鍵の管理や配布には面倒がかかりますけど、
IPアドレスの制限より強力なアクセス制限をかけれると思いますし。

問題はクライアントの秘密鍵が盗まれないように
手立てを考えることだと思います。
他の人にクライアント証明書を渡したとき、管理が悪くて
気づかないうちに盗まれたら、不正アクセスされますからね。

かといってICカードとかUSBトークンなどのセキュリティートークン高いので
気軽には買えませんし。
PKIって秘密鍵の管理が大変ですよね。

ちなみに下名はIISを使用しSSLクライアント認証の実験中。
IIS自体がヤバイかもしれないので、ほんと実験レベルですけど。
zanjibar
ぬし
会議室デビュー日: 2001/10/30
投稿数: 309
投稿日時: 2004-03-09 00:13
ほんと鍵の管理が大変です。
使い捨てにするのがいいのではないでしょうか?
引用:

nishiwakiさんの書き込み (2004-03-08 09:33) より:
SSLクライアント認証は非常に便利だと思いますよ。
クライアントの秘密鍵の管理や配布には面倒がかかりますけど、
IPアドレスの制限より強力なアクセス制限をかけれると思いますし。
nishi
常連さん
会議室デビュー日: 2003/11/14
投稿数: 25
お住まい・勤務地: 大阪
投稿日時: 2004-03-09 12:05
それも一つの手段だと思います。
小規模なシステムや、個人的に数人で行っているなら可能でしょうね。
鍵の有効期間を短めにするか、
しばらくしたら失効してCRLをWebサーバーに読み込ませておけば
古い鍵によるアクセスは不可能ですからね。
その度に鍵を発行し直して配布が面倒ですけど、数人ならOKですね。

それでも失効するまでに時間があるわけですから安心は出来ません。
やはり最後の最後は秘密鍵を盗まれないようにクライアントの教育に
なってしまうのではないでしょうか。PKIを含めたセキュリティって言うのは。

大規模システムでセキュリティートークンにて配布しても
トークンにパスワード書く人いますからね。
バイオメトリクス認証のついたトークンなら安心ですけど・・
金かかりすぎます。

引用:

zanjibarさんの書き込み (2004-03-09 00:13) より:
ほんと鍵の管理が大変です。
使い捨てにするのがいいのではないでしょうか?
zanjibar
ぬし
会議室デビュー日: 2001/10/30
投稿数: 309
投稿日時: 2004-03-09 23:26
今考えているのは、
http://cvs.cacanet.org/WEB/members/nagao/
てなところです。
PKIの証明書をUSBメモリにいれておいて、一度特定のページに証明書ありで
アクセスすると、一時的にIPベースのアクセス制限がなくなるというものです。
漫画喫茶なんかによくゆく人には便利です。
引用:

小規模なシステムや、個人的に数人で行っているなら可能でしょうね。
鍵の有効期間を短めにするか、
nishi
常連さん
会議室デビュー日: 2003/11/14
投稿数: 25
お住まい・勤務地: 大阪
投稿日時: 2004-03-10 10:23
http://cvs.cacanet.org/WEB/members/nagao/
での「使い捨てPKIによるプロクシ開放」ですが
使い捨てにする方法等が明記されていないかった(別ページでしょうか)
のでなんとも言えないのですが、
本来のPKIでは鍵を使い捨てにするには、使用した後すぐに
CAに対して失効要求を申請して、失効してもらい
最新のCRLを公開してもらうと言うのが正式ではないかと思います。

ですので、どのように鍵を使い捨てにしているかが分からないので
場合によってはPKIとしては邪道な使用法になるのではないかと思います。

また、アクセスごとに証明書をCAに申請することになりますから
CAの負担、効率を考えると無理ではないでしょうか。
ですので、クライアントの秘密鍵の使い捨てと言うのは
実運用では無理ではないかと思います。

使い捨て、と言う観点からでは
「RSA SecurID」などのワンタイム・パスワードなどでなないかと思いますが、
ワンタイム・パスワードを作成するシステムを自ら組むのはかなり困難ですね・・
これも、乱数発生の種(シード値)は無論使い捨てはしていませんから
秘密鍵やシード値の使い捨ては無理だと思います。

さらに、SAMLやLiberty Allianceのシステムが発行するチケット
(しばらく読んでないので表現を忘れましたが)
も数秒から数時間の有効期間しかなく、使い捨てですが
最初の認証時に使用するパスワード、証明書などは使い捨てしていません。



あと、クライアント証明書にてアクセスして、
一時的にIPベースのアクセス制限を無くす方法も
一時的と言うのは時間で制限するか、クライアントがログオフを明示するまでとかに
なるかと思いますが、WebブラウザのセッションつなげるごとにSSLハンドシェイク(クライアント認証付きで)行わないと、特に漫画喫茶などからのアクセスでは危険はないでしょうか。

また、ネットワークの知識は乏しいので違っているかもしれませんが、
IPベースのアクセス制限の場合、漫画喫茶等からでしたらProxyServer、ルータ等を通しますから、WebServer側で見れるクライアントのIPと言うのはProxyServer、ルータ等のIPになりませんか?
以前、開発中にIPベースのアクセス制限をかけたら、アクセス可能な人と、不可能な人が出て
WebServerのログを見たら、ProxyServer経由の人はすべてアクセス拒否していましたので。


引用:

zanjibarさんの書き込み (2004-03-09 23:26) より:
今考えているのは、
http://cvs.cacanet.org/WEB/members/nagao/
てなところです。
PKIの証明書をUSBメモリにいれておいて、一度特定のページに証明書ありで
アクセスすると、一時的にIPベースのアクセス制限がなくなるというものです。
漫画喫茶なんかによくゆく人には便利です。
zanjibar
ぬし
会議室デビュー日: 2001/10/30
投稿数: 309
投稿日時: 2004-03-11 01:47
ええ、邪道な使い方考えています。個人的に利用するのですからなんでも
ありといえばありです。名前のところに連番発行しておいて、使ったら
データベースに登録して、使えなくするつもりです。

証明書は、バッチコマンドでバリバリにつくっておきます。

少々危険なのは、気にしません。

訂正です。。。。。 シリアル番号がとれることがわかりました。


引用:

ですので、どのように鍵を使い捨てにしているかが分からないので
場合によってはPKIとしては邪道な使用法になるのではないかと思います。

あと、クライアント証明書にてアクセスして、
一時的にIPベースのアクセス制限を無くす方法も
一時的と言うのは時間で制限するか、クライアントがログオフを明示するまでとかに
なるかと思いますが、WebブラウザのセッションつなげるごとにSSLハンドシェイク(クライアント認証付きで)行わないと、特に漫画喫茶などからのアクセスでは危険はないでしょうか。



[ メッセージ編集済み 編集者: zanjibar 編集日時 2004-03-12 00:47 ]
1

スキルアップ/キャリアアップ(JOB@IT)