チャーターブログ

Simple is best.

セキュリティプロトコルの要点まとめ(電気通信主任技術者試験「システム」「設備管理」)

電気通信主任技術者試験(伝送交換)の「電気通信システム」、「伝送交換設備及び設備管理」で出題されるセキュリティプロトコルについてまとめました


専門科目で出されるほどの応用的な内容はここでは扱っていません


過去問を解きながら参考書にコピペしたものをもとに書いたものなので、怪しいところがあるかもしれませんが、参考程度に使用して下さい


試験の過去問の他、NTTラーニングシステムズのテキストからも引用しました

電気通信教科書 電気通信主任技術者 伝送交換設備及び設備管理・法規編 第2版

電気通信教科書 電気通信主任技術者 伝送交換設備及び設備管理・法規編 第2版


IPsec

ネットワークを流れるデータを暗号化し、ネットワークでの盗聴からデータを保護できる


データ認証情報を付加して送信することで受信側では通信経路の途中でデータが改ざんされていないか確認できる


送信データの機密性と完全性の確保及び送信元の認証を可能とするプロトコルである


共通鍵暗号方式が利用されている


VPNでの利用が主流

認証機能を持つAH (Authentication Header)と暗号化機能も持つESP(Encapsulating Security Payload)などから構成さ れており、IPレベルでのVPNを実現することができる

トランスポートモード

送信するIPパケットのペイロード(データ)部分だけを暗号化して通信する


IPsecが実装されたホスト間でのIPsec-VPN

AH使用時

IPヘッダ、拡張ヘッダを含むデータ全体にも認証機能が提供される

ESP使用時

データとESPヘッダのみ暗号・認証機能を提供する
IPヘッダは平文のまま

トンネルモード

ヘッダ部も含めてIPパケット全体を暗号化する
トランスポートモードよりセキュリティレベルが高い


IPsec-VPNが実装されたルータ間でのIPsec-VPN

AH使用時

新規につけたIPヘッダ全体が認証対象になる


ESP使用時

ESPのトンネルモードでは、IPパケット全体をデータとみなし、データの前にESPヘッダ及び新規のIPヘッダ、後ろにESP認証データを付加する。


参考
IPsec - トランスポートモード・トンネルモード
IPSec1〜AHとESPの認証機能(改ざん検知) | 情報セキュリティスペシャリスト試験合格への道




IPsecの実装が標準となっているIPv6についてはこちらの記事参照

IPネットワーク技術の要点まとめ(電気通信主任技術試験「システム」「設備管理」) - チャーターブログ

SSH (Secure SHell)

公開鍵暗号(SSH1: RSA、SSH2: DSA)を用いて共通鍵暗号(トリプルDSA、AESなど)を暗号化して鍵交換を行う
通信は共通鍵暗号を用いる


SSHは、リモートシェル、リモートログインなどのr系コマンドを暗号化機能と認証機能によりセキュアにするプロトコルであり、クライアント認証にパスワードは使用でき、パスワードを含め暗号化している


なりすまし防止のために、パスワード認証、公開鍵認証、ワンタイムパスワードなどが提供されている



SSHは、リモートログインなどにおいて暗号化と認証機能を提供するアプリケーション層プロトコルであり、暗号化されたファイル転送プロトコルである ftpsの構築にも利用される


SSHが提供するセキュリティ機能には、盗聴に対するセッションの秘匿及び ユーザやホストの認証、改ざんや通信エラーに対するパケットの完全性 を検証できる


SSH1ではRSA、SSH2ではDSAを使用している


SSHのポート転送(フォワーディング)機能を用いることにより、POP3、IMAP4などでも、SSHによって確立された安全な通信路を利用することができる

SSL/TLS

SSL-VPNで使用するSSL/TLSは、OSI参照モデルのセッション 層で動作する


SSL-VPN装置は、一般に、一台一台を識別できるように装置ごとに異な るデジタル証明書が組み込まれる


SSLは、サーバとクライアントとの間の通信データに関するMAC(Message Authentication Code)を生成することにより通信データの改ざんの有無を判別する機能を有する


SSL-VPNを使用して通信を行うアプリケーションがWebベースの場合、 クライアント側にSSL/TLSに対応したWebブラウザがあれば、専用ソフ トウェアを用いることなくリモートアクセスが可能である


SSL-VPNは、IPsec-VPNと比較して、処理のオーバヘッドが大きい


※参考: SSL/TLS(Part.2) (3/3):不正アクセスを防止するSSL/TLS(3) - @IT


電子メールのセキュリティ

メールの暗号化、ディジタル署名の機能をもつプロトコルに、次の2つがある

S/MIME

公開鍵暗号方式RSAを用いてメッセージを暗号化する


S/MIMEは、公開鍵の安全性を保障する方法として認証局(CA)に公開鍵を登録することにより、不特定多数の通信対象者への信頼性を確保している。

PGP

公開鍵の証明に第三者機関を必要としない
信頼の輪(Web of Trust)の理念に基づき、ユーザが自らの秘密鍵で署名する



PGPでは、鍵管理、デジタル署名及びメッセージの暗号化に共通鍵暗号を用いている


※参考: 電子メール(S/MIMEとPGP) TCP/IP入門






情報セキュリティの記事はこちら

情報セキュリティの要点まとめ(電気通信主任技術者試験「システム」「設備管理」) - チャーターブログ



カテゴリー「電気通信主任技術者試験」の記事一覧はこちら
www.charter-blog.com