校内における情報セキュリティと
This presentation is the property of its rightful owner.
Sponsored Links
1 / 27

校内における情報セキュリティと Web サーバ PowerPoint PPT Presentation


  • 67 Views
  • Uploaded on
  • Presentation posted in: General

校内における情報セキュリティと Web サーバ. 稚内北星学園大学 情報メディア学部 金山典世 [email protected] 学校内におけるセキュリティ (1). セキュリティ一般は中々難しい問題 話を情報の共有に絞る 機密性の階層 校内、教職員内、一部教職員 学校内で機密性が必要 成績など保存が必要 個人情報など流出を防止 生徒氏名 , 連絡網. 学校内におけるセキュリティ (2). 情報をどのように共有するか? ネットワーク上に置く 誰でも閲覧 ネットワークに侵入されると、 無線 LAN から侵入されると、

Download Presentation

校内における情報セキュリティと Web サーバ

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Web

校内における情報セキュリティとWebサーバ

稚内北星学園大学

情報メディア学部

金山典世

[email protected]


Web

学校内におけるセキュリティ (1)

  • セキュリティ一般は中々難しい問題

  • 話を情報の共有に絞る

    • 機密性の階層

      • 校内、教職員内、一部教職員

    • 学校内で機密性が必要

    • 成績など保存が必要

    • 個人情報など流出を防止

      • 生徒氏名, 連絡網


Web

学校内におけるセキュリティ (2)

  • 情報をどのように共有するか?

    • ネットワーク上に置く

    • 誰でも閲覧

      • ネットワークに侵入されると、

      • 無線LANから侵入されると、

      • 何らかのウィルスやスパイウェアからの流出

    • ある種の制限、制御が必要


Windowsxp 2

WindowsXP 2種類

  • Home Edition

    • 簡易ファイル共有 (WinXPProも可)

    • 問題点 共有フォルダーには誰でもアクセス可能

  • Professional Edition

    • ユーザーごとのアクセス制御

    • アクセスの可否,接続数の制限など細かな制御

    • 利用するコンピュータには適切なユーザアカウントが必要


Winxp 1

WinXPにおける暗号化 (1)

  • ProとHome Editionの機能の差

  • EFS

    • Encryption File System: 暗号化ファイルシステム

    • Proのみ

  • 全てProで統一すれば利用できるが、

    • アカウントの統一的運用

    • EFSの秘密鍵の保管などの問題

    • EFS+CIFSだとネットワークからは丸見え

      • ファイルのあるサーバ上で復号化


Winxp 2

WinXPにおける暗号化 (2)

  • WebDAV + EFS

    • ファイル転送後、クライアントで復号

    • 但し、EFSの問題は残る

  • EFS ユーザプロセスからは透過的

ウィルスからも!

  • 結論

    • Windowsの独自機能による暗号化は運用の可用性で劣る

    • 標準規格を使うべし

    • GnuPG (OpenPGP)


Winxp

WinXPによる共有の方法

  • 共有の方法は?

    • CIFS + 標準暗号方式

      • ネットワーク上に暗号化ファイル

      • 復号化

      • ネットワーク上に書き込む危険性

    • Read only がベター

    • CIFSだと、面倒 (アップロードとの非対称性)

  • WWWやその上のCMSなどが整理の上でも良い

    • CMS(Contents Management System)


Web

情報の共有方法のお奨め

  • Web上で管理

    • 視認性、管理に優れている

    • 認証を使ってアクセス制御

    • 出来れば、CMSを使うと更に良し

  • 更に機密性が必要ならば、

    • 暗号化

    • 標準規格OpenPGP

    • 実装GnuPG


Cms 1

CMS(1)

  • blog, Wiki などはCMSを装備

    • 用途が問題

    • CMSとして開発 → blog, Wiki は良い

    • 逆は駄目

  • 管理に階層性がある

    • 権限が委譲できる

  • コンテンツ管理が閉じている

  • 出来れば簡単⇔ Enterprise CMS


Cms 2

CMS(2)

  • 欲しいモジュールがあるか?

    • Wiki, blogだけでは困る

    • カレンダー,スケジュール

    • ニュースお知らせ

    • フォーラム議論できる

  • Zopehttp://zope.jp/ , http://www.zope.org/

    • 豊富なモジュール, groupware (Plone)

    • 管理は万全

  • moodle

    • CMSではないが… LMS (Learning Manamgement system)


Web

暗号

  • 暗号システム

    • K(平文)→暗号文

    • K-1(暗号文)→平文

  • 暗号の解読

    • 暗号鍵 K, 復号鍵 K-1共に知られたときに、暗号は解読された状態になる


Web

対称暗号方式

  • 対称暗号方式 (共通暗号鍵方式)

    • K = K-1

    • 一つの暗号鍵のみを使う

    • 暗号鍵を秘密にする必要(秘密鍵暗号)

    • 通信に使う際には困難

    • 暗号化, 復号化が早い

    • DES (Data Encryption Standard)

    • AES (Adbanced Encryption Standard)


Web

非対称暗号方式 I

  • 非対称暗号方式(公開鍵暗号方式)

    • K ≠ K-1

  • 通信に当たって両者が鍵(暗号鍵)を公開

  • 相手の暗号鍵を使ってメッセージを送る

B

公開鍵 BK

A

暗号化

秘密鍵 BP


Web

非対称暗号方式 II

  • RSA

    • 非常に大きな数の素因数分解は困難

    • 21024~2204821000=(210)100~10300

    • Public になったので

  • ElGamal暗号

    • Diffie-Hellman交換アルゴリズム

    • 離散対数問題 難問!

    • 最初からPublic

    • GnuPGでは標準 (RSAも使えるが)


Web

公開鍵暗号方式のネック

  • 公開鍵をどうやって管理するか?

    • 特別な所が管理認証局(CA)

      • CAに間違った鍵が置かれたら…

      • 経費の問題

    • 信頼の輪Web of Trust

      • 公開は適当にやる PKS:Public Key Server

      • 正当性を別の人が電子署名で行う

      • 正当性の保証の連鎖

      • 何を信頼するかは個々人に委ねる


Web

一方向ハッシュ関数

  • 暗号システムではないが

  • 電子メイルなどの用途で開発

  • ハッシュ関数

    • 例 151 → 15で割った余り 1

    • 十分結果の集合が多いと

  • 与えられた文に対して作られた値と同じ値になるような別の文を作るのは不可能(?)

    • MD5Message Digest(FreeBSD, OpenBSD)

    • SHASecure Hash Algrism


Web

ファイルの検証

  • ハッシュ値

    • 一方向ハッシュ関数を用いて正当性

    • ハッシュ値は完全ではないが、今のところは

    • 方法

      • ファイルのハッシュ値を計算

      • 予め手に入れたハッシュ値を比較

    • 用途

      • 配布ファイルの正当性のチェック

      • 既存システムファイルのチェック

      • 改ざんのチェック

    • 問題 ハッシュ値を改ざんされたら…


Web

PGP

  • PGP (Pretty Good Privacy)

    • 電子署名公開暗号鍵方式を逆に使う

    • 内容証明一方向ハッシュ関数

    • 暗号化共通鍵暗号方式

    • 鍵の秘匿公開鍵暗号方式

本文

秘密鍵

共通鍵

共通鍵

公開鍵を公開

暗号文

本文

暗号文

署名

ハッシュ値

鍵サーバ


Gnupg

GnuPG

  • PGP商品, 暗号IDEAに特許

  • OpenPGP 標準化規格 (RFC2440)

  • GnuPG (Gnu Privacy Guard)

    • OpenPGPの実装

    • データ暗号化AES,3DES

    • 鍵管理、デジタル署名CAST5,RSA

    • 一方向ハッシュ関数SHA,MD5

    • メイルに良く使われるが、ファイル一般に使える仕組み!!


Gnupg1

GnuPGへのメイルクライアントの対応

  • Outlook ExpressPlugin

  • Akira

  • Bekky

  • Eudora

  • Mozilla,ThunderbirdEnigmail(ext)

  • 電信八号Plugin

  • 秀丸メール

  • cf. http://www.cla-ri.net/pgp/pgp04.html


Gnupg2

GnuPG 用のツール

  • gpg4win

    • GnuPG本体

    • WinPT鍵管理

    • GPA鍵管理(WinPTと少し違う)

    • GPGolOutlook2003用プラグイン

    • GPGeeExplorer 用プラグイン

    • Sylpheed-Clawsmailクライアント


Web

お詫び

  • 時間的に Webサーバ単体でのアクセス制御は困難

  • 技術レベルも高くなる

  • 運用的にも面倒

  • 結局、CMSが便利

  • moodle でやります…


Web

今日の実習

  • 仮想化ソフト

    • VMplayer大学の実習マシンの環境

  • ゲストOS

    • FreeBSDapache+moodle, pks

    • WindowsXPクライアント, GnuPG

  • IPアドレスの変更

    • WebminWebでの管理

  • apache の起動

  • moodle

  • GnuPG


Vmware vmplayer

VMware, VMplayer

guest OS

FreeBSD

Linux

WindowsXP

VMware (Workstation, Player)

host OS (Windows, Linux)


Guestos

guestOSとネットワーク

host OS

FreeBSD

Network


Moodle

moodle実行環境

Apache

MySQL

or

Postgres

Database

moodle

PHP

OS (Linux, FreeBSD, unix, Windows)


Web

今日の実習

  • 仮想化ソフト

    • VMplayer大学の実習マシンの環境

  • ゲストOS

    • FreeBSDapache+moodle, pks

    • WindowsXPクライアント, GnuPG

  • IPアドレスの変更

    • WebminWebでの管理

  • apache の起動

  • moodle

  • GnuPG


  • Login