q q 情報セキュリティ第９回：２００７年６月１５日（金） q q 本日学ぶこと  “信頼される第三者”を用いないセキュリティ q q   Diffie-Hellman鍵交換 PGP，GnuPG Diffie-Hellman鍵交換により，認証局なしに鍵となる値を共有できる．ただしman-in-the-middle攻撃に弱い．ＰＧＰでは，誰をどの程度信頼するかは各ユーザが設定する． 2 Diffie-Hellman鍵交換  Whitfield DiffieとMartin Hellmanが１９７６年に考案した，二者間で秘密の数値を共有するプロトコル q   RSA暗号アルゴリズムの発表（１９７８年）よりも早い一人で実行する手順はアルゴリズム二人以上で実行する手順はプロトコル「鍵交換」と書かれるが，直接鍵を交換してはいない．鍵の手掛かりとなる情報を交換することで，鍵（秘密の数値）を求める．頭文字をとって「DH」，「DH方式」などとも呼ばれる． 3 Diffie-Hellman鍵交換の処理と通信 Alice Bob GA % P GB % P 公開値の計算公開値の交換公開値の計算乱数A 乱数B 共有鍵の計算共有鍵の計算 GAB % P 共有する値 GAB % P 図の出典：『暗号技術入門―秘密の国のアリス』 p.281を改変 4 Diffie-Hellman鍵交換の数学的背景          公開情報：素数P，生成元G GはPに依存する． Aliceが秘密に持つ情報：A Gは必ずしも素数ではない． Bobが秘密に持つ情報：B Alice→Bob：GA % P Bob→Alice：GB % P Aliceの鍵生成：(GB % P)A % P = GAB % P Bobの鍵生成：(GA % P)B % P = GAB % P AliceとBobの処理は，乱数生成・べき剰余のみなので，高速 P，G，GA % P，GB % Pを盗聴しても，そこからAやBを得ることはできない（離散対数問題を解くことと等価）なので安全であると言える． 5 man-in-the-middle攻撃カレーライスくださいハヤシライスお願いします（悪意ある）ウエイター客カレーライスどうぞ料理人ハヤシライスできたよ 6 Diffie-Hellman鍵交換に man-in-the-middle攻撃を適用すると（１） Alice Mallory Bob GA % P GM % P GB % P 公開値の交換公開値の交換公開値の計算公開値の計算公開値の計算乱数A 乱数M 乱数B 共有鍵の計算共有鍵の計算共有鍵の計算共有 GAM % P GAM % P GBM % P 共有 GBM % P 7 Diffie-Hellman鍵交換に Man-in-the-middle攻撃を適用すると（２）         公開情報：素数P，生成元G Alice，Bob，Malloryが秘密に持つ情報：A, B, M [Alice] → GA % P → [Mallory] → GM % P → [Bob] [Bob] → GB % P → [Mallory] → GM % P → [Alice] Aliceの鍵生成：(GM % P)A % P = GAM % P Bobの鍵生成：(GM % P)B % P = GBM % P Malloryの鍵生成１：(GA % P)M % P = GAM % P Malloryの鍵生成２：(GB % P)M % P = GBM % P 8 Diffie-Hellman鍵交換に man-in-the-middle攻撃を適用すると（３）  AliceとMalloryはGAM % Pを共有し， BobとMalloryはGBM % Pを共有する． q  AliceとBobの間では情報を共有していないが， Aliceは，BobとGAM % Pを共有していると思っている． Aliceが，GAM % Pを鍵として暗号文を作り，Bobに送ったら， Malloryはそれを受け取ってGAM % Pで復号し， GBM % Pで暗号化したものをBobに渡す． AliceとBobの間で秘密にしたい通信内容が，Mallory にも知れてしまう！ Alice α E(GBM%P,α) E(GAM%P,α) α Bob Mallory α 9 Diffie-Hellman鍵交換の補足  実用化されている「Diffie-Hellman鍵交換に基づく情報共有法」では，man-in-the-middle攻撃の問題に対応している． 10 PGPとは    Pretty Good Privacy（たいへんよいプライバシー）の略 Philip Zimmermannが開発した暗号化ソフトウェアできること q q q  メールやファイルの暗号化と復号通信の暗号化はできない  ハイブリッド暗号 ⇒SSH, SSL  対称暗号メールやファイルのディジタル署名とその検証公開鍵，プライベート鍵の管理 GnuPG (Gnu Privacy Guard)は，OpenPGPという仕様に基づいて作成されたフリーソフトウェア 11 PGPの鍵リング（key ring）  各利用者が鍵を管理 q q q それぞれの鍵は，作成者も鍵長も暗号アルゴリズムも様々 [email protected]の鍵は，だれでも生成可能 GnuPGでは，~/.gnupg 以下のファイル 12 GnuPGで行う操作（１）  自分の鍵（公開鍵＆プライベート鍵） q q q q  鍵ペア生成破棄証明書の作成公開鍵暗号による復号署名（ファイル，他人の鍵）他人の鍵（公開鍵） q q q q q インポート署名信頼度設定公開鍵暗号による暗号化署名の検証 13 GnuPGで行う操作（２）  鍵リング q q q q  鍵の書き出し（テキスト化）鍵のインポート・削除鍵一覧・fingerprint 公開鍵サーバへ鍵を送受信その他 q q 公開鍵サーバで鍵の検索対称暗号による暗号化と復号（鍵としてパスフレーズを与える） 14 PGPのインポート（import）  鍵を鍵リングに取り込むこと q q q  鍵の入手方法は… q q  主に他人の公開鍵自分の鍵（公開鍵＆プライベート鍵）は，鍵ペア生成で自動的にインポートされる破棄証明書をインポートすることも本人，または信頼できる人からファイルでインターネットで，公開鍵サーバ（keyserver）からインポートの後は？ q q まず①正当性を確認，②自分の鍵で署名，③信頼度設定そうすれば，暗号化や，署名の検証ができる． 15 公開鍵をインポートしたら  他人の公開鍵をインポートしただけでは q q  その鍵が正当なものかわからない．その鍵で暗号化・署名の検証などをしてはいけない．正当性の確認：所有する鍵のfingerprint（指紋）を求め，別に公開されているfingerprintと照合する． q 「Takehiko Murakawa <[email protected]>」（ID: 3A423EBE）のfingerprintは 564B 8D8E C58A 0D78 8294 F3E9 0D23 DE18 3A42 3EBE   自分のプライベート鍵で「鍵に署名」をつけると，自分はその鍵を信頼したことになる．信頼度（所有者信頼）は，第三者がその鍵を信頼するための情報 q 信頼度情報を，公開鍵サーバに送ることができる． 16 鍵の破棄   鍵リングから鍵を削除するコマンドを実行する自分の鍵は？ q q 鍵ペア生成後すぐ，破棄証明書を作成しておく不要になったほかに，漏洩（compromise）の疑惑があれば，破棄証明書を鍵束にインポートしたのち，公開鍵サーバに送信すればよい．（鍵リングからの削除はしないほうがよい．） 17 PGPの処理～鍵生成   暗号化方式，ビット長，鍵の有効期間，名前，メールアドレス，パスフレーズ（２回）を入力する．鍵ペアと鍵IDは，乱数を用いて生成される． q マウスを動かしていると，より良質の乱数ができる． 18 PGPの処理～公開鍵暗号で暗号化     ハイブリッド暗号（前回授業）を行う．メッセージを直接暗号化するための鍵（セッション鍵）を生成する．メッセージは暗号化の前に圧縮する．メールで送る場合，最後にバイナリデータをテキスト化 (Armor)する． 19 PGPの処理～公開鍵暗号で復号    ハイブリッド暗号の逆順となる．復号鍵は，計算機内では対称暗号で暗号化して保存されている．これを利用可能にするため，ユーザがパスフレーズを入力する．したがって，１回の復号の中に， q q q  復号鍵を取り出すための復号（対称暗号）セッション鍵を取り出すための復号（公開鍵暗号）メッセージを取り出すための復号（対称暗号）が行われる． 20 PGPの処理～対称暗号で暗号化・復号   暗号化・復号したいファイル名を入力に与える．実行中にパスフレーズを入力する． q q 暗号化では２回，復号では１回鍵生成時や，公開鍵暗号での復号時に入力する値とは異なる．そもそも，鍵生成や鍵のインポートをしなくても，対称暗号は使用可能 21 PGPを手っ取り早く使いたいなら  Windows q  Linux q  GnuPG Win32版 + WinPT gpgコマンドメールクライアント q q Firefox + FireGPG + GMail Thunderbird + enigmail 22 PGPで暗号化メールを送ってみたい人へ  メールを「Takehiko Murakawa <[email protected]>」（ID: 3A423EBE）の鍵で暗号化して送ってかまいません． q q q q うまく復号できたら，その内容に返信します．復号できなかったら，その旨返信します．ディジタル署名はつけないでください．第２回レポートの答案を暗号化して送らないでください． 23