q q 情報セキュリティ 第2回:2004年4月16日(金) q q この科目について 今年度からの新規開講科目 q q 担当者は村川猛彦(むらかわ たけひこ) q q q 5セメスタ(3年次前期)の「専門科目・選択」に分類 入学年度の都合で,単位を修得しても「自由選択」になる 昨年度までは「田中猛彦」 2003年10月に結婚&改姓 質問・相談は [email protected] へ 授業情報はWebで q http://www.wakayama-u.ac.jp/~takehiko/secu2004/ 2 教科書 結城浩, 『暗号技術入門―秘密の国のアリス』, ソフトバンク パブリッシング, ISBN4797322977 比重: 教科書40%,その他60% スライドとの併用 q q 教科書に書いていることはスライドにしない 教科書に書いていないが理解してほしいことはスライドにする 予習は必要? q 4月までに教科書を軽く読み通してほしい 3 成績評価の方法 レポート:10点×2回 期末試験:80点 q 出席点なし 昨年度実施した授業・試験の例(情報処理Ⅱ) q 自筆ノートのみ持込可(教科書も不可)にする予定 http://www.wakayama-u.ac.jp/~takehiko/ipii2003/ 個別の点数照会には応じない 4 関連する科目 「通信」に関連して q q q 情報理論 情報ネットワーク(現:情報ネットワークⅠ) 情報ネットワーク応用(現:情報ネットワークⅡ) 「管理」に関連して q q データベース オブジェクト指向1~2 5 情報セキュリティを学ぶのに必要なもの 広く深い知識 q q 思いやりの心 q q 情報セキュリティは人の問題 「誰がいて,それぞれ何ができて何をしたいか」の分析が必須 ある種の数学 q 常にメンテナンス 知識を得るための知識も 離散数学,アルゴリズム理論,計算量理論 プログラミングやインターネットの知識は? q 必須ではないが,理解の助けにはなる 6 情報セキュリティは何「でない」か ハッカーの養成 q 暗号理論 q 専門家だけのものではなく,パスワードなど,誰もが注意しない といけない問題もある. 「理論」と「実装」と「運用」の一つでも不十分なシステムは,正し く機能しない. 「破られたらおしまい」という考え方 q 破られるのにどれだけのコストを必要とするかが安全性の尺度 となる.つまり,情報セキュリティは対象を定量的に取り扱える. 7 身近な話題 パスワード管理 q q q パソコン管理 q q q なりすまし,不正注文 良いパスワードを利用する ときどき変更する ウイルス発信,踏み台(DDoSなど) ウイルス対策ソフトを入れる Windows Update,apt-get updateなどによる更新をまめに実 施する ソーシャルエンジニアリング q q q アクセス権限の奪取 善意を装った情報収集,情報操作には応じない 保護すべき計算機や情報を把握しておく 8 パスワード 認証モデル ①入力 Prover (証明者) この入力に「個人識別情報」と「パスワード」の組を用いて, 個人を識別する q q q ②判定結果 Verifier (検証者) 入力時,パスワードは画面上に表示されない 個人識別情報は,システムが提供する パスワードは,システムが提供するものもあれば,利用者が設 定するものもある どのようなパスワードを使用すれば安全か? 9 パスワード解析の前提 敵対者の目標:他人の個人識別情報(ユーザ名,銀行の カードなど)を既知として,そこから,認証に必要なパスワー ドを発見すること 認証システム q q 敵対者が同じ認証システムを所有する:UNIXのパスワードク ラック いくらでも試せる 敵対者は認証システムを所有しない:Webサーバ,銀行ATM 失敗するとペナルティ Cracker P (敵対者) V 10 パスワード解析の種類 ブルート・フォース・アタック(brute-force attack,総当り法) 辞書攻撃 11 ブルート・フォース・アタック すべてのパスワード候補を認証システムに入力し,「当たり」 が出るまで続ける 時間は,1回の判定時間×探索終了までの回数 探索終了までの回数は,パスワードの候補の数に比例 q q パスワードになり得る値からなる集合を「パスワード空間」という 期待値は,パスワード空間のサイズの半分 パスワード空間が大きいほど安全 12 数字によるパスワード(1) 銀行の暗証番号 q q 4桁の数字:10000通り もし敵対者が認証システムを所有していて,(電子工作など で装置を作って)1秒間に100回の入力ができるなら,最大 でも100秒でパスワードが割り出せる. 現実には,1回の入力が0.01秒とできないように対処してい るので,一応安全に運用されている. 8桁の数字なら?:100000000通り 同様の敵対者の行動で,最大106秒…およそ11.5日 誰もが覚えていられる? 13 数字によるパスワード(2) 10文字 q q 4文字で10000通り 8文字で100000000通り(1.00×108通り) 14 英数字によるパスワード 62文字 q q 4文字で14776336通り 8文字で218340105584896通り(2.18×1014通り) 15 英数字と記号によるパスワード 95文字 q q 4文字で81450625通り 8文字で6634204312890625通り(6.63×1015通り) 16 パスワード空間のサイズ:まとめ 文字数 数字のみ 4 1.00×104 5 1.00×105 6 1.00×106 7 1.00×107 8 1.00×108 1.11×104 1.11×105 1.11×106 1.11×107 1.11×108 英数字 1.48×107 9.16×108 1.50×107 9.31×108 英数字と記号 8.14×107 7.73×109 8.23×107 7.82×109 5.68×1010 7.35×1011 5.77×1010 7.43×1011 3.52×1012 6.98×1013 3.58×1012 7.06×1013 2.18×1014 6.63×1015 2.21×1014 6.70×1015 ちょうど 以内 数字のみ<英数字<英数字と記号 1文字増えるとパスワード空間がうんと大きくなる 17 辞書攻撃 問題のあるパスワード q q q 辞書と,選ばれる傾向をもとに,パスワードを発見する方法 を「辞書攻撃」という q 個人識別情報そのもの,または一部,または少し付加しただけ takehiko, take, takehiko1, takehi0 4桁の数字の場合,電話番号や生年月日 辞書に載っている単語 apple, web 辞書に載っている単語を組み合わせただけ appleweb, apple!web ツールが存在する ブルート・フォース・アタックと別の方法で見つかってしまう! 18 パスワードの選び方 どのようなパスワードを使用すればよいか? q q q q q q 数字のみとなっている場合は,それに従う UNIXのパスワードでは,英数字と記号を織り交ぜて,6文字以 上8文字以内にする 自分は思い出しやすいものにする 長ければいいってもんでもない 辞書攻撃で破られるようなパスワードは使用しない(?) パスワードをメモしない(?) あちこちの認証システムで同一のパスワードにしない(?) 19 システム開発者・管理者の立場で パスワードはどう設定するか? q q q システムが生成,提供する よいパスワード生成プログラムを選べば安全にできる ユーザは覚えられず,紙などに記録するかも ユーザに自由に決めてもらう 安全性をユーザに委ねる リマインダを使用する パスワードを忘れた人が,あらかじめ登録しておいた簡単な 質問(例:母親の旧姓は?)に正しく答えれば,パスワードを 教える 質問次第で,パスワードなしと同じになってしまう 現状の最善解は? q q 個人識別情報と初期パスワードを提供する ユーザがパスワードを決め,初期パスワードは破棄する 20 本日のまとめ この科目の進め方など パスワードのセキュリティ q q q よいパスワード,よい管理方式を選ぶ 総当り法で破られるパスワード空間は,まずい 総当り法以外でも破られることがある 21
© Copyright 2024 ExpyDoc
