はじめての802.1x認証

Q5.メッセージダイジェストアルゴリズムのSHA-1の
　　メッセージダイジェスト長さは、(　)ビットか？


Q6.メッセージダイジェストは、ファイルでは、
　　(　　)と呼ばれる








Q7.UNIXでは、(　)コマンドで、チェックサムの計算ができる。
　　Free BSDでは、ファイルのMD5値を計算する（　）コマンドが
　　ある。


Q8.本物の証明書となりすまし証明書をカンタンに
　　区別する手段として、メッセージダイジェストが利用される。
　　それが証明書の（　）である。



時間がないので、後で





Q9.改ざんは（　）で検知できる。

ブログ「はじめての802.1x認証」の方で、
書く内容ですが、
こちらでも書いておきます。


Q1.PKIの主な技術は、( )と( )である。


Q2.PKIに使われる暗号は、( )である。










Q3.大切に扱わねばならない鍵は、（　　）鍵の方である。



Q4.デジタル署名では、平文（クリアテキスト）を
　( )という一定長のデータに変換し、
　その後、（　　）化を行う。


さて、４つだけですが、
私が今も、強くオススメする、

「企業システムのためのPKI―公開鍵インフラストラクチャの構築・導入・運用」の第一章からの問題です。


ITエンジニアなら、全問正解で当たり前ですが、
どうですか？

ベリサインのCPSを読んでました。

長いですね、じっくり読むと(^^)。


第三世代(G3)ルート証明書は2048ビット
https://www.verisign.co.jp/repository/root.html

ベリサイン・ルート証明書
https://www.verisign.co.jp/repository/root.html

これが、リポジトリと表示されて示されているベリサインのWebです。
https://www.verisign.co.jp/repository/index.html

これが、日本ベリサインの中間CA証明書
https://www.verisign.co.jp/repository/intermediate.html


セキュア・サーバIDの中間CA証明書の選択と入手方法について
https://www.verisign.co.jp/serveronsite/help/faq/320074/









■日本ベリサインCPS (VeriSign Japan CPS)
https://www.verisign.co.jp/repository/CPS/index.html

さすがに多いですね。１１２ページあります。

読んでいると、いろいろ知ることのできる濃い資料です。
書籍などと合わせて読むことで、相当理解が深まるなぁー、これ。


セキュア・サーバ認証機関は、
それ自体で独立してるんですね。

ベリサイン・ユニバーサル・ルート認証機関と別なのか。

これを見ると、
クラス４の証明書は発行してないようですね、今。


確かに、クラス４はクラス３より厳しいわけで、そうすると、
定期的に存在確認をしたり行動追跡をしたりなどが
発生するとかするんでしょうけど（たぶん）、
コストかかり過ぎだし、
そこまでして申し込む人、いないでしょうねぇー。


実際のところ、
クラス４の代わりに、
EV-SSL証明書が出てきたと思っていいのかと思ったら、
そうでも、ないな。

P14にEV-SSLは、class3証明書、と書いてますね。


※中間認証機関をリキーする。

うーーーん、要注意ですな。
ただ、じっくり読むと、
ルート証明書として組み込まなければいいのなら、
気にしなくて良いか。

でも、「定期的」にリキーには、注意する必要ある。


※OCSPで検索していたら、関連してバグもあるようです。
http://www.adobe.com/jp/support/kb/es_public/102/es_public_102229_ja-jp.html" target="_blank">http://www.adobe.com/jp/support/kb/es_public/102/es_public_102229_ja-jp.html


この書き方、バグチケット起票の模範的な書き方だな(^^)。


※これもすごい。
　RedHat 7.3の時期にこういうことをやってるなんて・・
http://www.ipa.go.jp/security/fy14/development/pki/suite/install-guide.pdf#search='OCSP プログラム'


OCSPの詳しい解説
http://technet.microsoft.com/ja-jp/library/cc770413(WS.10).aspx

結局、署名をつけて何かをすると、
その署名を検証する必要が生じるという手間が
常に発生するんだな。








pdf" target="_blank">https://www.verisign.co.jp/repository/CPS3.7/CPS3.7.pdf
ここに、個人の実在性確認（証明書のclass分けの内容）が詳細に出てますね。


https://www.verisign.co.jp/ssl/about/client.html#mobile

https://www.verisign.co.jp/support/maintenance/announce20090408.html


■公開鍵のビット数などへの対応状況（携帯電話会社）
http://www.nttdocomo.co.jp/service/imode/make/content/ssl/spec/index.html#taiou

http://www.au.kddi.com/ezfactory/tec/spec/ssl.html
https://creation.mb.softbank.jp/web/web_ssl.html


暗号アルゴリズムの移行期間となる「暗号の2010年問題」、
「MD5アルゴリズムへの衝突攻撃によるSSLサーバ証明書の偽造に関する報道」の社会的状況を鑑み、今回変更することを決定しました・・なるほど、なるほど。




P23　「リキー」と「リニューアル」の区別か。

WindowsのCAサーバーで証明書を更新する時に、出てきますよね。

鍵をどうするか？って。



P28まで、つまり４分の１まで読み終えた。

復習も兼ねた良い学習になりました。


全く初めての人は、PKIに関して、証明書に関しても、
下記をまず買って読むべきでしょう。
昨日も書店でPKI本を見てたんですが、
やはり、これしかオススメできないなぁーと思いました。

証明書とSSLと暗号化クイズ(その１)


本来、「はじめての802.1x認証」ブログで
やる内容ですが、まあ、いいでしょう。


opensslコマンドのメモ書き場所としても、
このブログを活用しようと思います。


なかなか、いいブログ・Webサイトがないので。

さっき、「新版暗号技術入門」を買って読んでたんですが、
なかなか面白いです。








説明もかなりキメが細かいし。


それと、他の書籍でも取り上げられていない、
箇所も目立ちました。


じゃあ、さっそく、最初のクイズは、これ。

Ｑ１.クラス１、クラス２、クラス３って何を意味するでしょうか？
　　説明して下さい。



ルート証明書などを見ている人は、
１とか２とか３って何だろうと思ったことはあるはずですが。
（参照：P240)

opensslコマンドを使ったSSL証明書の作成を
行います。


もちろん、元祖PKIの教科書である、
「企業システムのためのPKI―公開鍵インフラストラクチャの構築・導入・運用」をチラ見しつつ・・・・。

私がすすめた書籍の中で一番売れているのが、コレです。







OpenSSLのコマンドを知っているとか、
Apacheで、SSLも使えるようにするとかは、
別に重要なことでも、付加価値が上がるわけでもなく、
PKIの仕組み自体を理解することが大事なので、
ＳＥ系の人を中心に売れています。



というか、改訂版を出してもいい時期のような
気がしますが、出ないですねぇー(^^)。

いまだに、これを超えるＰＫＩ本は、ありません。

唯一、下記のマイクロソフトの本が、
濃厚な内容ですが、Windowsドメインでの証明書配布や管理などの方法としてのＰＫＩなので、もちろん、相当役立ちますが、
そもそも、ＰＫＩとは・・・という本ではありません。

※もちろん、ＰＫＩの解説は出てますけど。

会社で買ってもらえる人は、両方買うことをオススメします。

まあ、自費で買うだけの価値はありますけどね。

時間がないので、
今日も、高速でマスタリングTCP/IP SSLを読む。









■Java
・SSL通信用パッケージ
・JSSE(Java Secure Socket extension)
・SSLEngineを通してデータのやりとりを行う。


■KeyStore形式・・・各ユーザーの鍵や証明書を格納するファイル形式

$ keytool -genkey -keystore serverKeystore -alias server -keyalg RSAキーストアのパスワードを入力してください:
新規パスワードを再入力してください:
姓名を入力してください。
[Unknown]: kaiji
組織単位名を入力してください。
[Unknown]: 100
組織名を入力してください。
[Unknown]: Young Magazine
都市名または地域名を入力してください。
[Unknown]: Tokyo
州名または地方名を入力してください。
[Unknown]: 23ku
この単位に該当する 2 文字の国番号を入力してください。
[Unknown]: JP
CN=kaiji, OU=100, O=Young Magazine, L=Tokyo, ST=23ku, C=JP でよろしいですか?
[no]: yes

の鍵パスワードを入力してください。
(キーストアのパスワードと同じ場合は RETURN を押してください):
新規パスワードを再入力してください:


実行したカレントディレクトリに
serverKeystore　ファイルができます。

$ ls -la serverKeystore
-rw-rw-r--. 1 yutaka2010 yutaka2010 1346 2009-10-30 03:44 serverKeystore


鍵を取り出す。

$ keytool -export -alias server -keystore serverKeystore > serverKey.cer

serverKey.cerファイルができた。

$ ls -la serverKey.cer
-rw-rw-r--. 1 yutaka2010 yutaka2010 577 2009-10-30 03:50 serverKey.cer

これが証明書。
ファイルは、DER形式。

中を見たい場合は、
次のコマンドを実行。





openssl x509 -inform der -in serverKey

openssl x509 -inform der -in serverKey -text

openssl rsa -in serverPrivateKey -text

Javaで作って学ぶ暗号技術 - RSA,AES,SHAの基礎からSSLまで

• 作者: 神永 正博
• 出版社/メーカー: 森北出版
• 発売日: 2008/05/13
• メディア: 単行本（ソフトカバー）

新版暗号技術入門 秘密の国のアリス

• 作者: 結城 浩
• 出版社/メーカー: ソフトバンククリエイティブ
• 発売日: 2008/11/22
• メディア: 単行本

つづく・・・・・。

CRLには、２種類あります。さて、なんでしょう？
（ダウンタウンの漫才、みたいな質問やな）












PKIから証明書配布方法など、
あらゆるPKI・証明書に関する内容が満載です。

802.1x認証や証明書、認証案件に関わるなら
必須！


会社費用でもいいから購入しておくべき本です。

で、自分の手元に置いておきましょう(^^)/。

出ました、Windows 2008 Serverドメインでの
必須本が。



■Microsoft Windows Server 2008 PKI & 認証セキュリティ大全


http://homepage3.nifty.com/sysaho/8021x_book.html

バージョン３テンプレートなどもきっちり出てますね。


久しぶりの更新でした！それでは、また！

１章では、基本的なPKIのことについても
触れています。

本当に基本中の基本ですが、
復習がてらに目を通しておくと良いです。

数ヶ月前に書店で気づいたんですが、
すっかり、当たり前となったようですね。







802.1x認証と証明書の配布などは。

Windows系の書籍は、
完全に基本的なところは抑えてますし。







802.1x認証でやらないといけないことは、
グループポリシー学習。

証明書の自動配布。

雛形PCをどう扱うか。


証明書の有効期間をどうするか。







把握していないといけないのが、
パケットのやりとり。

俗に言うシーケンスですね。

これは、普通のドメイン環境でのログイン時の
パケットを把握し、
その後、802.1x環境で違いを見るのが
ベストです。


可能な限り、スイッチやクライアントも
全て動作確認を行うのがベストです。


こういうサーバー・ネットワーク・クライアントPCを
まとめて一気に見ることができる機会は、
あまりないですからね。