この記事では,研究のサーベイをまとめていきたいと思います。ただし,全ての論文が網羅されている訳ではありません。また,分かりやすいように多少意訳した部分もあります。ですので,参考程度におさめていただければ幸いです。
間違えている箇所がございましたらご指摘ください。随時更新予定です。他のサーベイまとめ記事はコチラのページをご覧ください。
本記事の内容
大学で学習した「情報セキュリティ」の内容を網羅的にまとめていくものです。目次は以下の記事をご覧ください。
情報セキュリティ概要
情報セキュリティは,「以下の3つの要素を守ること」と定義されます。
1.機密性(Confidentiality)
→読み取りには権限が必要
2.完全性(Integrity)
→情報が正確であること
3.可用性(Availability)
→必要なときに利用できること
たとえば,機密性が侵害される例としては個人情報の流出,完全性が侵害される例としては情報の改ざん,可用性が侵害される例としてはサーバーの故障等が考えられます。
セキュリティ侵害の種類
たとえば,太郎君からメアリーさんに情報を送るという状況を考えてみましょう。
攻撃者は…
●妨害
→太郎君からの情報をブロックする
●盗聴
→メアリーさんに情報は届くが盗み聞きする
●なりすまし
→メアリーさんのフリをする
●偽造
→太郎君のフリをする
●改ざん
→太郎君からの情報を変えてしまう
これらを,正当性(情報の権限を保障すること)と秘匿性(通信を当事者以外に知られないこと)によって分類してみましょう。
【正当性の侵害】
●妨害
●なりすまし
●偽造
●改ざん
【秘匿性の侵害】
●盗聴
情報セキュリティのためのキーアイディア
以下では,情報セキュリティを確保するためのキーアイディアを紹介していきます。
否認不能性
情報セキュリティを確保するためには,否認不能性が大切なアイディアになります。上の例で言えば,もし太郎さんが「こんな情報をメアリーさんに送っていない!」とウソをついたとします。
もし,ウソがウソだと見抜けなければ,第三者による正当性の侵害が考えられます。しかし,ウソに振り回されてしまえば,情報セキュリティを確保するのは非常に困難になってしまいます。
そこで,「ウソをつけない環境」を提供しようという考え方が否認不能性と呼ばれるアイディアです。何らかの手段により,送信者・受信者が自分の行為を否認することができなければ,ウソをつくこともできなくなるということです。
個人認証
アクセスしようとするものが,本人であることを検証することです。個人認証を施すことにより,なりすましを防止できるだけでなく,否認を防止することもできます。以下に,個人認証を実現する手段と問題点を整理しておきます。
【本人の知識の利用】
●生年月日・暗証番号等
●サービスごとに暗記するのは非現実的?
【本人の所有物の利用】
●印鑑・電子証明書等
●盗難や紛失のリスクが高い
【本人の身体的特徴の利用】
●指紋や顔による認証等
●誤認識率が高い
暗号
今までは,主に正当性に焦点を当ててきましたが,ここでは秘匿性に注目していきます。情報を暗号化することで,第三者からの盗聴を防ぐことができます。
【古典的手法】
→暗号化アルゴリズム自体を秘密にする
●換字(他の規則で代用)
●転置(対応表に基づいた置き換え)
【近代的手法】
→アルゴリズムは公開して鍵を秘密にする
●共通鍵暗号系
・鍵の共有手法が問題
「物理的手法」「Diffie‐Hellman鍵交換法」など
・鍵の共有相手が多すぎる
●公開鍵暗号系
・共通鍵暗号系の短所を克服
・RSA,ElGamalなど
・電子署名にも利用されている
CRAM (Challenge‐Response Authentication Mechanism)は,認証側からの促し(challenge)に正しく応答(Response)できるかによって認証を施す手法です。事前に何らかの応答規則を共有している必要があり,共通鍵暗号系に分類されます。
以下の記事も参考にしていただければと思います。
しかし,公開鍵暗号系にも弱点はあります。それは,公開鍵をすり替えられる危険性がある点です。もし,送信者の公開鍵がすり替えられれば,受信者は電子署名を攻撃者のものだと気づかずに検証してしまいます。加えて,受信者の公開鍵がすり替えられれば,送信者は攻撃者の公開鍵を利用して暗号化するため,攻撃者のみが情報にアクセスできる状態になるだけでなく,正しい送信者に情報を送ることができなくなってしまいます。
これらの事例からもわかる通り,公開鍵は「秘密ではない」にしても,しっかりと安全に取り扱わなければならないといえます。そのような公開鍵を安全に取り扱えるような基盤を構築しているのが,PKIというアイディアになります。
PKI
PKIは,公開鍵を安全に取引するために,信頼できる第三者を利用する方法です。信頼できる第三者の署名が公開鍵に施されていれば,その公開鍵は「ホンモノだ」と信じることができるからです。
まとめ
情報セキュリティの概要をお伝えしました。暗号に関する話題は非常に需要がある一方で,勉強すればするほどややこしいテーマであることが身にしみて感じられます。
