- ベストアンサー
SSLの安全性
通信内容がSSLの場合、盗聴や改ざんなどを防げるといこうとですが、 どの程度安全なのですか? 中途半端な知識はあるのですけど。 例えばSnifferやカーニボーで通信内容を完全に傍受されたとき、 公開鍵暗号と共通鍵暗号もとられて解読されてしまう気がするのですが? 例えば私が通販サイトを利用した場合、通販サイト側(WAN)までにはいくつかの 経路がありますが、社内から(LAN)利用した場合などは少なくとも社内からは Snifferで私の通信データは傍受可能です (スイッチハブだからふつうでは無理とかいうのは別) もちろん100%安全とは思っていませんが、どの程度信頼できるのでしょうか? キーロガーやその他スパイウェアの危険性は別として。
- 5S6
- お礼率59% (1504/2542)
- ネットワーク
- 回答数8
- ありがとう数5
- みんなの回答 (8)
- 専門家の回答
質問者が選んだベストアンサー
3度目の#4です。 気分がいいので、もう少しわかりやすくしてみました。 ●SSL通信概略 1.ブラウザから要求。 サーバー ← [要求] ← ブラウザ (非暗号化) 2.サーバーは自分の公開鍵を渡す。 (公開鍵は盗まれても問題ない) サーバー → [公開鍵] → ブラウザ (非暗号化) 3.もらった公開鍵で、共通鍵を暗号化、サーバーへ渡す。 (公開鍵で暗号化されているので、サーバー本人しか復号化できない。) サーバー ← <共通鍵> ← ブラウザ (公開鍵で暗号化) 4.以降の通信は、共通鍵で行う。 サーバー ← <<メッセージ>> ← ブラウザ (共通鍵で暗号化) サーバー → <<応答メッセージ>> → ブラウザ (共通鍵で暗号化) *実際には、もう少しやっています。 (サーバーは公開鍵と一緒に証明書を渡したり、 使える暗号アルゴリズムの一覧を渡したり。。。) これでどうでしょうか?
その他の回答 (7)
- txrx
- ベストアンサー率45% (83/184)
通販サイトでSSLを使う理由は、もう一つあります。 SSLが利用できる→信頼できるサイトである。 と言うことです。 SSL認証は最初だけ秘密鍵・公開鍵を使用してその後共通鍵を使用するとか、技術的な話を行いがちですが、安全性は確率論に過ぎません。 それよりも、そのサイトがしっかりと認証された信頼のできるサイトか?が問題となり、そのために商用サイトはSSLしていると思います。 SSLできないサイトは、認証機関が認証してくれないひどいサイトとも考えられます。 また認証機関から発行される証明書は、人が取り扱うものですから、技術的に大丈夫であっても、どこかに裏口があるかもしれませね。通信を信用してはいけません。
- ngsvx
- ベストアンサー率49% (157/315)
#4です。 >実際の通信は最初に公開鍵、秘密鍵で共通鍵を暗号化し転送、以後の通信は 共通鍵の暗号化に使うのは、あくまでも公開鍵だけです。 秘密鍵は、決して他人に教えてはいけない性質のものです それと、補足ですが、 #4で書いた流れは、具体的には、 送り側 ・・・ ブラウザなど 受け側 ・・・ サーバー となります。 置き換えてもう一度#4の流れを読んでください。
- root139
- ベストアンサー率60% (488/809)
> 相手の秘密鍵で共通鍵を暗号化し、ユーザーに送られた公開鍵で複合して・・・ これは逆です。公開鍵で暗号化し、秘密鍵で複合します。 #4のngsvxさんは、その様に書かれていますね(下記の部分)。ちゃんと読みましょう。 > 2.そのまま送っては危険なため、受け側の公開鍵で、1で作った共通鍵を > 暗号化する。 > ・ > ・ > ・ > ポイントは、共通鍵を公開鍵で暗号化することです。 > ご存じかもしれませんが、公開鍵鍵は、それを使って暗号化したデータを > 復号化できません。復号化できるのは対となる秘密鍵だけです。 一般的に、公開鍵で暗号化し、秘密鍵で複合する場合は、秘密鍵を知っている人しか読めないデータとなります。 逆に秘密鍵で暗号化し、公開鍵で複合する場合は、秘密鍵を知っている人しか送れないデータとなります。(送信者の認証という意味になります) http://www.atmarkit.co.jp/fnetwork/rensai/pki03/pki01.html http://www.atmarkit.co.jp/fsecurity/special/02fivemin/fivemin00.html http://www.atmarkit.co.jp/fnetwork/rensai/pki01/pki01.html
- ngsvx
- ベストアンサー率49% (157/315)
>どの程度安全なのですか? 暗号化の強度の話ではなく、「SSLの仕組み自体の安全性の問題」 という質問ですよね? >例えばSnifferやカーニボーで通信内容を完全に傍受されたとき、 公開鍵暗号と共通鍵暗号もとられて解読されてしまう気がするのですが? 誤解があるような気がします。 ・公開鍵は、その名の通り、一般の人公開するべきものですから、 誰に知られても問題ありません。 ・共通鍵は暗号化されて相手に送られますから、問題にはなりません。 SSL通信の大雑把な流れは、 1.送り側は、本文を暗号化するための鍵(共通鍵)を作成する。 2.そのまま送っては危険なため、受け側の公開鍵で、1で作った共通鍵を 暗号化する。 3.送り側は受け側へ、暗号化された共通鍵を送信 4.送り側は、、本文を共通鍵で暗号化。 5.暗号化された本文を、送信。 となります。 ポイントは、共通鍵を公開鍵で暗号化することです。 ご存じかもしれませんが、公開鍵鍵は、それを使って暗号化したデータを 復号化できません。復号化できるのは対となる秘密鍵だけです。
- 日吉 龍(@VDSL)
- ベストアンサー率68% (176/258)
例え全通信内容を傍受したとしても、公開鍵暗号の復号化は現実的な時間ではできません。 ご存知だとは思いますが、公開鍵暗号は暗号化の鍵と復号化の鍵は別々になっています。 SSLのサーバと通信を行う場合、通信はSSLのサーバの公開鍵を利用して行われますが、これを複合化するための鍵(秘密鍵)は、SSLのサーバしか持っていません。 このため、例えすべての通信を傍受されたとしても、復号化は不可能です。 #ちなみに改ざん防止(=電子署名)も同じ原理なので、同じことになります。 理論的にはすべての鍵の組み合わせを試行すればいつかは秘密鍵にたどり着きますが、現実的な時間でたどり着くことはできません。 量子コンピュータが開発されれば、公開鍵暗号は数秒で解読されるといわれていますが、少なくとも当面は安全です。 SSLのサーバから直接秘密鍵を盗み出すという方法が考えられなくもありませんが、そこは別とするということなので....
お礼
しくみについてはネットでいくつかありますが、 なんかちょっと不安です。 実際の通信は共通鍵で最初だけ非対称鍵でやっているようなので。
- boonboonboon
- ベストアンサー率27% (6/22)
ちょっと補足です。 通信の最初から最後まで全てを抜き取られたとしても、 それを再現しても見れないです。 暗号化をするときには、単純に鍵だけで行っているのではなく、 乱数とかそういったものもかかわってきますから。
- boonboonboon
- ベストアンサー率27% (6/22)
鍵の解読が難しいのですよ。 鍵をそのままネットワークに流すわけではないですからね。 鍵の解読に掛かる時間より前に、さらに強度な暗号化方式が出てくるので安心です。 っていうのが、公開鍵方式の考え方じゃないでしょうか?
関連するQ&A
- ホームメールの安全性
物理的にWebサーバが社内に在りまして、ホームメールでお客様向けに登録の書き込みページを公開しています。また同じ社内のsmtpサーバでしかも同じ社内のネットワークのメールサーバでホームメールのデータを受け取っています。つまりお客様がホームページに記載した内容は社内のネットワーク内以外には送信されません。そこでご質問ですが、 1)ページを見ている遠隔地のコンソールから住所などのデータを入力した場合、モデムやADSLの接続でキーボードから入力したデータが途中で盗聴されることは在るのでしょうか。 2)またWebとmailのスプールが社内に在る場合は、送られたデータは外部に送信されないので、暗号化されなくても暗号化されたページと同様に安全なのでしょうか。 3)暗号化の守備範囲はメールで在れば送り主の手許から、受け手の手許で解読するまで暗号化されていますので、安全といえますが、webページを利用したホームメールなどはどの程度安全なのでしょうか。 教えてください。
- ベストアンサー
- ネットワーク
- Wi-Fiの安全性
もはや当たり前のように、皆がWi-Fiでのネット利用をしています。 ズブの素人でまことに申し訳ないのですが、Wi-Fiの通信、というかネット利用は本当に安全なのでしょうか。 友人曰く。 「安全でなければ、こんなに普及するわけはない」 ・・・たしかに。 しかし、なぜ、安全なのか、どの程度安全なのか、ピンときません。 ルーターに電波を飛ばしている、その電波を傍受され、悪用されたりということはないのでしょうか。 知識のとぼしい私にも分かるよう、わかりやすい説明をお願いできればと思っています。 よろしくお願いします。
- ベストアンサー
- Wi-Fi・無線LAN
- 公開鍵暗号方式を利用した下りデータの安全性について
公開鍵暗号方式については、 ・公開鍵で暗号化したものは秘密鍵で復号できる ・秘密鍵で暗号化したものは公開鍵で復号できる ・秘密鍵は(もちろん)秘密だが、公開鍵は不特定多数に配布可能 が前提にあると理解しています。 SSLも公開鍵暗号方式を利用した通信プロトコルということですが、ここで、一つの疑問が湧きました。 信頼できるルートから署名された証明書を持つサイトで、SSLによって通信が暗号化される会員登録画面があったとします。 利用者は、氏名や住所などを登録画面に入力し、登録ボタンを押します。 この時、入力した情報は、サイトの証明書から入手した公開鍵で暗号化され、サイトに送信されるのだと思います。 ここで暗号化された情報は、サイトが持つ秘密鍵のみで復号可能ですので、鍵を持たない第三者が盗聴すること自体が無意味であり、安全であると言えます。 では、登録された情報を、利用者が確認のために表示する場合はどうなのでしょう? 今度は、サイトが持つ秘密鍵で利用者の情報を暗号化し、サイトの公開鍵によって利用者側で復号することになると思います。 しかし、前述したように、そのサイトの公開鍵は不特定多数の人が持っている可能性があります。 ということは、下りデータの通信を盗聴することで、同じ公開鍵を持つ第三者に復号されてしまうのではないかと考えたのですが、実際はどうなのでしょうか? 利用者が個人で秘密鍵を持っていない状況での通信というのがポイントです。 インターネットなどで調べてみたのですが、秘密鍵の所有者向きの通信を公開鍵によって安全に暗号化することを例とした説明が多く、先の疑問に対する明確な解答を見つけることが出来ませんでした。 また、ランダムに生成した共通鍵を公開鍵で暗号化するハイブリッド方式というものがあり、何か関連があるかと思ったのですが、公開鍵暗号方式のデメリットである処理速度の問題を補う手法という内容で、解決には結び付きませんでした。 ご存知の方がいらっしゃいましたらお教え下い。 宜しくお願いします。
- ベストアンサー
- ネットワーク
- 公開鍵暗号について
失礼します。 公開鍵暗号についてです。 Linux系OSカテゴリで質問することではないかもしれませんが、 sshサーバーの設定の際に疑問になったことなのでここで質問させてください。 公開鍵暗号方式について無勉強だったので調べていると、 Wikipediaより、 1.通信を受ける者(受信者)は自分の公開鍵(暗号化のための鍵)P を全世界に公開する。 2.受信者に対して暗号通信をしたい者(送信者)は、公開鍵 P を使ってメッセージを暗号化してから送信する。 3.受信者は、公開鍵 P と対になる秘密鍵(復号のための鍵)S を密かに持っている。この S を使って受信内容を復号し、送信者からのメッセージを読む。 4.暗号通信を不正に傍受しようとする者(傍受者)が、送信者が送信した暗号化されたメッセージを傍受したとする。傍受者は、公開鍵 P は知っているが、秘密鍵 S は受信者だけが知っている情報であるので分からない。P から S を割り出すことは(計算時間的に)極めて難しい。そのため、暗号文を復号することはおよそできない。 とありました。 sshを使ってサーバーにアクセスする場合、秘密鍵はクライアント側が持つことになりますが、 そのとき、サーバーからクライアントへのデータは秘密鍵があるので解読できるのは理解できます。 しかし、その反対はサーバー側に秘密鍵がないので無理なのでは? 不勉強でここで悩んでいます。 どなたかご教授いただけないでしょうか? また、ssh用に作成した秘密鍵は「厳重に保管しておく」とよく書かれていますが、 具体的にどうするのかはっきりしません。 パスワード保護でもすればよいのでしょうか? これについても宜しくお願い致します。
- ベストアンサー
- Linux系OS
- プロバイダに違反者がいたら、特定の通信を傍受可能?
基本的にHTTPS通信によって通信は暗号化されています。ですが、もしプロバイダにブラックハッカーと内通している者がいた場合、HTTPS通信を傍受することは可能でしょうか?またそのような場合、通信をカプセル化するVPNを利用すれば傍受される可能性を低くできるでしょうか?
- ベストアンサー
- セキュリティ対策
- SSL通信とVPNの違い
SSLは暗号化通信で、VPNというのも暗号化によって同一回線で通信するものの別のネットワークである可能様な利用をするものです。つまり、同一回線を通じて通信するものの、暗号化によって他者に読み取られないというのは同じことです。 両者はどこが違うのですか? もっというとダークウェブとかも同じ回線を通じて通信するのに暗号化されていて他者からは読めないということなので、同じことではないかと思います。 どう違うのですか?
- ベストアンサー
- ネットワーク
- SSLについて
SSL (コンピュータどうしの通信の内容を暗号化して情報をより安全にやり取りするため) あるページにログインしょうとした時、環境がSSLに対応していない可能性がありますと出てログインが出来ません、SSLに対応するにはどうすれば良いのですか、 他のページではログインが出来ています。 PC Win98
- ベストアンサー
- Windows 95・98
- SSLでもインターネットバンキングは危険でしょうか
SSLならばセキュリティが確保できる(SSLも暗号解読は可能だが解読に時間がかかるため現実に個人が心配するほどの危険性はない)と認識していたので、自宅からインターネットバンキングやネット通販をよく利用していました(※キーロガー等が組み込まれる危険性は今回の話と別にお考えください)。 ところが、WebでSSLの中身を確認してフィルタリングするソフトが市販されていることを知りました(一例として「Webwasher」の"SSL Scanner"機能 http://www.webwasher.jp/pro_sslscanner.html)。 こういったソフトがあるということは、SSLを利用したページでもセキュリティ上問題があり、インターネットバンキングやネット通販等は危険と考えた方がよいでしょうか。
- ベストアンサー
- その他(インターネット接続・通信)
- GmailのSSL
Gmailでは、SSLが使えると聞きました。 SSLでは、通信経路を暗号化すると理解しています。 フリーメールの場合、Gmailさんのメールボックスに入っても、 まだ、受け取るべき相手には届いていないので、 通信経路の途中にあると考えます。 したがって、メールボックスの中でも暗号化されているようにも理解できますが、 Gmailさんが、メールの内容を機械的に調査していると言う話も聞きます。 暗号化されていても内容の調査は可能なのでしょうか? それとも、メールボックスは通信経路ではないのでしょうか? そうすると、SSLの意味が分からなくなります。 相手の手元に届くまでしっかり暗号化してくれるSSLはあるのでしょうか? お分かりの方、よろしくお願いします。
- ベストアンサー
- その他(メールサービス・ソフト)
- SSL通信じゃないとまずいですか?
最近ペニーオークションに興味があって 比較的安全だろう99OFFというサイトを見つけました。 http://99off.jp/Reg.aspx ここからいざ登録をしようとしたのですが 登録ページが暗号化(SSL)通信になっていないのです。 他のペニーオークションサイトはどうだろうと見たのですが どれも登録ページがSSL通信ではないです。 そこで思ったのですが別にSSL通信でなくても大丈夫でしょうか?
- ベストアンサー
- ネットワーク
補足
公開鍵、秘密鍵による非対称の完全通信ならわかるのですが、 実際の通信は最初に公開鍵、秘密鍵で共通鍵を暗号化し転送、以後の通信は この共通鍵で行うと書いてあったようなのをみたことがあります。 (すべてのデータを公開鍵、秘密鍵で暗号化すると計算に時間がかかり負担がかかるため) 相手の秘密鍵で共通鍵を暗号化し、ユーザーに送られた公開鍵で複合して 以後共通鍵による暗号だと、ユーザーに近い側を傍受された場合、公開鍵も とれそうなので、結果的に共通鍵がわかってしまい、結局解読できてしまう。 ような気がします。 どこが間か違っているんでしょうか?