web-dev-qa-db-ja.com

PKI、証明書、認証局、転送秘密のセキュリティ

証明書が情報交換のセキュリティにどのように追加されるかを理解したいと思います。

公開鍵/秘密鍵のペアを使用して、アリスとボブの間に暗号化された双方向接続があるとします。公開鍵が実際にトンネルの予期された端に属していることを安全なチャネルで確認する限り、MITMからの接続を保護しました。

証明書はどのようなセキュリティをもたらしますか?理論的には、このCAからの証明書が実際には同じCAからのものであることを確認するために、CA自体からの証明書が必要です。

別の疑問;また、IKEは定期的に発生するため、SSL/TLSは完全転送秘密をサポートすることも述べています。これが完全な前方秘密をどのように許可するのか、私にはまったくわかりません。 2つのエンドポイント間のすべてのパケット交換を保存し、送受信キーをブルートフォースにすると、そのセッション中に発生するすべてのIKEが公開されるようです。おそらくこれは、複数のセッションでIKEを実行すること、つまり、複数のセッションキーの下で各キーを交換することで軽減できます。つまり、他のキーに到達するには、複数のキーをクラックする必要があります

[〜#〜] edit [〜#〜]追加の質問 here を追加しました。

9
lurscher

はい、正しい公開キーを使用していることを確認できれば、MITM攻撃は阻止されます。証明書は、正確にそれを可能にする公開鍵配布方法です。

証明書の要点は、CAが発行したすべての証明書を検証できるようにするために、CA公開鍵を「知る」必要があるだけです。何百万もの証明書が存在する可能性があり、また、 CAは来週を発行します。したがって、証明書は信頼のソース(アプリオリ既知の公開鍵)の必要性を完全に取り除くわけではありませんが、その必要性を十分に集中させて、鍵配布の実際的な問題を解決します。

公開鍵の信頼を得るには、証明書以外のスキームを使用できます。たとえば、SSHはキャッシングによってそれを行います(サーバーの公開鍵は、前回連絡したときと同じ鍵であることを確認できるので信頼できます。ある意味では、SSHは時間ごとの信頼の集中を実現しますが、証明書は空間的にそれを行います)。

「DHE」スイート(「Diffie-Hellman Ephemeral」用)を使用すると、SSLで完全転送秘密が実現します。ここで重要な単語は「エフェメラル」です。セッション対称鍵を保護する実際の秘密鍵は動的に生成され、保存されることはありません(これらはDiffie-Hellman鍵です)。したがって、これらのキーは開示の影響を受けないはずです。 areに格納されているキー(たとえば、秘密キーファイルに格納されている)は署名にのみ使用されるため、キーを盗んでも過去の会話を解読することはできません(それ以降の会話のためにサーバーを偽装することができます) 、ただし)。 PFSは実際のキーbreaksに関するものではなく、実際にははるかにもっともらしい攻撃パスであるキースティーリングに関するものです。 DHE暗号スイートは、鍵交換の秘密鍵を保管しないことにより、PFSを保証します。

9
Thomas Pornin

どのようなセキュリティが証明書をもたらしますか?理論的には、CA自体からの証明書が必要です

はい、(膨大な)数のCA証明書がデフォルトでブラウザにすでに存在しています。これにより、ブラウザーを含むオペレーティングシステム(またはブラウザーのダウンロードに使用される配布パッケージシステムの証明書)をダウンロードするときに、最初のブートストラップの問題が残ります。

このような妥協は、リンクされた場合のように注目度の高いサイトでない限り、 リスト内のCAが偽のサーバー証明書に署名する よりも簡単に気付くと思います。

別の疑問;また、IKEは定期的に発生するため、SSL/TLSが完全転送秘密をサポートしていることも述べています。

SSLは完全転送秘密をサポートしていますが、パフォーマンス上の理由から、SSLは通常無効になっています。

セキュリティプロパティは、新しいセッションキーの頻繁な生成に基づくのではなく、キー交換のための Diffie-Hellman の使用に基づいています。

攻撃者がデータストリームの両端のコンテンツも宛先も変更できない場合、DHは安全でない回線を介した秘密鍵のネゴシエーションを許可します。リンクされているウィキペディアの記事には、DHのしくみに関する非常に優れた説明があります。数学的な背景知識がほとんどなくても理解できます。

完全転送秘密の背後にある考え方は、秘密キーが危険にさらされる可能性がある場合に、攻撃者が古い記録されたデータストリームを将来デコードしないようにすることです。証明書は、アリスが正しいボブと話していることを保証します。したがって、PFSシナリオでは、DHの要件(変更なし、間違ったターゲットなし)が満たされます。

7