̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ IT ニュース&コラム 2011/10/17 通巻541号 縮小版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ >>> 最も普及したプログラム言語「C言語」の開発者が死去。 * The others Last week watched News  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ◇ C言語の開発者、デニス・リッチー氏が死去。 http://www.itmedia.co.jp/enterprise/articles/1110/14/news018.html … K&R の R の方。 ◇ iOS 5 が重要な理由。アップルモバイルOSの転換点。 http://japan.cnet.com/news/commentary/35008916/?tag=topMain http://plusd.itmedia.co.jp/pcuser/articles/1110/13/news031_2.html http://mag.torumade.nu/?p=2998 … PCが不要というより、クラウドが新しいパートナーへ。 ◇ 金融危機を弄ぶ輩たち、その悪行を絶つルールを作れ。 http://www.nikkeibp.co.jp/article/column/20111004/286113/?ST=business&P=6 … 中東の民主化の原動力となったネットは、先進国ではトレーダーに攻撃。 ◇ CEATEC JAPAN 2011開幕。4K時代が到来。 http://www.itmedia.co.jp/news/articles/1110/04/news038.html … フル 4K のコンテンツは、今のところ映画のみだが。 ◇ Adobe、タブレット版Photoshopなど Touch Apps を発表。 http://www.itmedia.co.jp/news/articles/1110/04/news032.html … Adobe Creative Suite を普及させるためのアプリか。 ◇ 5つの子画面がずらり、HDMIの新機能 InstaPrevue とは? 。 http://plusd.itmedia.co.jp/lifestyle/articles/1110/06/news135.html … すべての外部映像入力を確認しながら選べるセレクター。 ◇ FTPクライアント FFFTP 開発継続へ 有志が引き継ぎ、新バージョン登場。 http://www.itmedia.co.jp/news/articles/1110/12/news098.html … 早くも新機能が追加。 ◇ MSがWin8 UEFIセキュアブートの方針を説明。 http://journal.mycom.co.jp/news/2011/09/29/018/ http://journal.mycom.co.jp/news/2011/09/27/015/ … 他のOSも使えるようにするとセキュアでなくなる。 ◇ Freescale、動画再生を表示するE Inkディスプレイを披露。 http://ebook.itmedia.co.jp/ebook/articles/1110/04/news012.html … グレー表示と思われるが、静止画の切り替えが速くなったようだ。 ◇ SSDの普及で新たな課題が浮上。 http://www.itmedia.co.jp/enterprise/articles/1110/03/news012.html … HDD完全消去ツールが使えない。                      Snap Note 3 開発BLOG  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄   [ 公開鍵方式の鍵ファイルと秘密鍵のパスフレーズの扱い方 ] 公開鍵方式は、共通鍵方式と同じようにパスワード(=パスフレーズ)の 管理が必要です。 ただ、鍵ファイルのバックアップや、サーバーに 鍵の登録や更新登録が必要になる分、セキュリティ強度が高まります。 鍵ファイルの扱い方や、何が安全で何に気をつけなければならないか 知られていないために、公開鍵方式はあまり普及していません。 ネットにあるのは公開鍵の技術的な内容ばかりで、これでは使えない と思い、調べました。 セキュリティの基本は、パスワードです。 自分が覚えているパスワードと、 サーバーに暗号化されて記録されているパスワードが一致すれば、 本人であると認証する共通鍵方式が主流でしょう。 多くの人は、いろいろなサイトに同じパスワードを付けていることでしょう。 アカウント名も、同じIDにしていることでしょう。 もし、サイトの中に、パスワードを暗号化せずにそのままネットに 流してしまう「基本認証」を使っているサイトがあれば、簡単に パスワードが傍受されてしまいます。 そうして入手したパスワードを 使えば、セキュリティが強いサイトでも簡単にログインして本人に なりすますことができてしまいます。 しかし、それができてしまうのは、共通鍵方式を使っている場合です。 公開鍵方式を使えば、ID とパスワードを入手しても、ログインできません。 なぜなら、ID とパスワードの他に、秘密鍵(私有鍵)の入手が必要に なるからです。 最も有名な公開鍵方式は、ssh や OpenSSH です。 公開鍵方式では、秘密鍵と公開鍵のペアを使い、ネットにパスワードを 流さないで認証を行います。 暗号化されたパスワードでさえネットに 流しません。 乱数(さいころを振るように決められた数千桁の数値) をサーバーが生成し、その乱数をサーバー持っているその人(ID)の 公開鍵を使って暗号化します。 これをネットに流して、本人のPCに 届きます。 暗号化された乱数は、秘密鍵でしか解読(復号)できません。 これは数学的にほぼ証明されています。 こうして得られた乱数を、 ネットに流してサーバーに戻し、元の乱数であれば認証します。 (これは1つの方式です) Linux では、OpenSSH という公開鍵方式のプログラムが入っています。 ssh-keygen -t rsa とシェルから入力すると、OpenSSH2プロトコルの RSA 暗号方式の強度 2048bitの秘密鍵($HOME/.ssh/id_rsa)と公開鍵($HOME/.ssh/id_rsa.pub) のペアが作られます。 その際、秘密鍵を暗号化するための『パスフレーズ』 という耳慣れないものの入力を求められますが、これはパスワードと同じです。 フレーズ=複数のワードを入力してほしいから、パスフレーズと言っている だけです。 ややこしいですね。 ただ、ssh-agent を使えば、認証するたびに パスフレーズを入力する必要は無くなるので、長くても気にならなくなるでしょう。 2回鍵を作ると、警告されますがそれを無視してファイルを上書きすると、 前の鍵は失われますので、鍵を使い始めたら注意してください。 この2つの鍵ファイルのバックアップをとっておくことを勧めます。★ このファイルは、パスフレーズによって暗号化されているので、パス フレーズを知らない人は使うことができません。 なので、改めて 暗号化する必要はありません。 2つの鍵ファイルが入ったフォルダー を圧縮して、圧縮ファイルの名前を適当に変え、普段接続しない USB メモリの中の多くのファイルの中に、紛れこませればいいでしょう。 最も重要なのは、暗号鍵のパスワード(パスフレーズ)の管理です。★ 本人しか分からないヒントを紙かファイルに書いて、隠しておく ことをお勧めします。 サーバーに接続する前に、公開鍵をサーバーに送ります。 たとえばブラウザのフォームを使って公開鍵を入力します。 正規のサーバーであるかどうかは、URL によって確認できます。 このとき公開鍵を送る経路は暗号化されている必要はありません。 なぜなら、後で説明する1回目の接続をする際に、最初に説明した 公開鍵の認証方法にある乱数を持っているサーバーは1つしか 存在しないからです。 1回目の接続では、サーバー自体が偽者である可能性があるため、 サーバーのドメイン名と公開鍵のフィンガープリント(ハッシュ値)が 表示されます。どちらかを使って正規のサーバーであることを確認する ことができます。 接続(認証)に成功すれば、このサーバーと自分の PCしか知りえない情報のやりとりを行って、2回目の接続では サーバーの確認が不要になります。 セキュリティを高めるために、定期的にパスワードの変更をする ように言われますが、公開鍵方式では、パスワードを変更しても、 盗難にあった秘密鍵+パスフレーズを無効にすることはできません。 サーバーに登録した公開鍵を更新する再登録も必要になります。★ 秘密鍵ファイルにアクセスできる身内が犯人である可能性があるため、 パスワードの変更もしておくとよいでしょう。 参考: 共通テーマ OpenSSH キー (鍵) の管理 第 1 回。 http://www.ibm.com/developerworks/jp/linux/library/l-keyc/ SSHアクセスのためのキー - SourceForge.JP。 http://sourceforge.jp/docs/SSH%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE%E3%82%AD%E3%83%BC SSH通信でサーバ公開鍵のfingerprintは信頼できますか? http://ap.atmarkit.co.jp/bbs/core/fsecurity/20647         ソフトウェアデザイン館 Sage Plaisir 21 について  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ホームページ  >>> http://www.sage-p.com/ メルマガ    >>> http://www.mag2.com/m/0000083983.html ブログ     >>> http://blog.livedoor.jp/sage_p/ ツイッター   >>> http://twitter.com/Ts_Neko ダウンロード  >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災  >>> http://www.sage-p.com/saigai.html メール   >>> ts-neko◇sage-p.com ←◇を@に変えてください          緊急メールは件名に「うどんメール」を付けてください。  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ メルマガの設定を変更する? >>> http://www.mag2.com/m/0000083983.htm  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ News & Column are composed by T's-Neko 2011  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄