スポンサーリンク

応用情報技術者の過去問・解答解説 平成26年春・午後問1 設問2 クライアント認証の方式

応用情報・平成26年春・午後問1の問題および解答解説,つづき。

問1(2)の問題文の要点

SSLのクライアント認証に際し,

クライアント証明書をPC自体にインストールするという方式の目的は?


解答

営業支援サーバにアクセスできるPCを限定するため。

要は,営業支援サーバのクライアントとして認証できるPCを限定するため。


考え方

一般のSSLでは,サーバ側のみを認証する。

サーバは,自分が信頼できることを証明するために,
信頼できる機関の発行したサーバ証明書を保持する。

そしてクライアントにサーバ証明書を提示する。


これだと,正しいサーバと通信していることは保証できる。

しかし,不特定多数のクライアントが通信できるため,

正しいクライアントと通信していること」の保証ができない。


そこで,片方向の認証ではなく,両方向の認証にしたのがクライアント認証だ。

この場合,クライアント側も証明書を持っている必要がある。

クライアント認証を要求するサーバと通信する際には,
クライアント側のブラウザで証明書を選んで,その証明書がサーバ側に送られる。


こうすれば,サーバを利用できるユーザを限定できる。

これを「サーバ・クライアント相互認証」と呼ぶ。


さて,本問ではクライアント認証を実現するために,

クライアント証明書をどこにおくか?が焦点となる。


USBメモリみたいな形をした携帯型のUSBトークンを使って,
持ち運び可能なクライアント証明書を実現することもできる。

しかしこれだと,どんなPCでもUSBトークンが使えれば認証できてしまう。

PCを限定できないのだ。


ICカード,つまりSUICAとか入館許可証みたいなカードを個人に持たせて,
カードリーダをつなげて認証する場合も同じ。

PCを制限できない。


だから,ハードディスク内にクライアント証明書を設置する目的は,

認証できるPCを限定することなのだ。


この問題に関連した例題

類似問題:

応用情報技術者の過去問題 H26年春 認証局が侵入され、攻撃者によって不正なWebサイト用のディジタル証明 - 情報処理技術者試験-NAVI
http://itnavi.style-mods.net/question...

勉強用の資料

クライアント認証の仕組み,サーバ認証だけのケースとの違い:

用語集(SSLクライアント認証)|情報資産プラットフォームを活用したソリューション提供のパイプドビッツ
http://www.pi-pe.co.jp/word/i/sslclie...

  • クライアント認証では、 クライアントとサーバが相互に認証し合う必要がある。


解答例発表 -SSL-VPNの問題について- | わく☆すたブログ
http://www.wakuwakustudyworld.co.jp/b...

  • SSLは,トランスポート層(正確には,トランスポート層のTCPの上で動く,トランスポート層とセション層の間)のプロトコル
  • SSLでの認証で,クライアント認証(クライアント1台1台を証明書などで認証)を行うかどうかは,サーバが任意に決定することができます。


クライアント証明書とは? | SSL・電子証明書ならグローバルサイン
https://jp.globalsign.com/service/cli...

  • クライアント認証を用いれば、あらかじめ許可された証明書の所有が確認された場合にのみログインもしくはアクセスすることができる


オレオレ認証局でクライアント認証 ~ ウェブの Basic 認証をリプレース | OPTPiX Labs Blog
http://www.webtech.co.jp/blog/develop...

  • HTTPS の証明書はウェブサーバの証明書が有名ですが、実は PC にも証明書をいれることができます。そのうちの一つが、クライアント証明書です。
  • ウェブサーバ証明書は、ウェブサーバが本物かどうかを証明しますが、クライアント証明書は接続元 (ユーザ) が本物かどうかを証明します (SSL クライアント認証)。
    • これは、Basic 認証の代替となります。


SSL Client Authentication
http://esehttpd.sourceforge.jp/doc/ja...

  • クライアント認証をおこなうには、サーバが信頼すると認める認証局の証明書を用意しなければなりません。


WAS虎の巻: 第6回「SSL通信と証明書」
http://www.ibm.com/developerworks/jp/...

  • 一般的なSSL通信はサーバーが正当であることを証明する片方向の認証。
  • クライアント側が正当なユーザーであることを証明する場合には、クライアント認証を行う。
  • 認証局にクライアントの情報と生成した鍵ペアから署名付きの証明書を発行してもらい、クライアントに導入。
    • サーバー側では認証局の公開鍵を使ってクライアント証明書の署名を検証して正当なユーザーであることを確認


PKI基礎講座(3):身近なPKI~SSLを理解する - @IT
http://www.atmarkit.co.jp/ait/article...

  • IISでクライアント認証を実施するには,設定時に「クライアント証明書を要求」にチェックを入れる。
  • このような設定がされたサイトにアクセスすると、IEであれば証明書を選択するための画面が表示される。この選択画面に表示される証明書は、クライアント側にインストールされている証明書のうち、サーバ側で「信頼する認証機関」として登録している認証局から発行されたものだけである。
  • サーバ側が信頼していない認証局から発行された証明書を持っていても、そのサーバにはアクセスできないということだ。

クライアント認証の方式として,USBトークンやICカードを使う場合の特徴:

電子署名導入指南(5)~電子署名導入プラン クライアント編
http://www.atmarkit.co.jp/fsecurity/r...

  • USBのトークンモジュールは、基本的にはICカードと同じである。しかし、ICカードと異なりカードリーダーなどのデバイスが必要なくUSB搭載のPCであれば使用できる


SSL-VPN入門 第4回 SSL-VPN のセキュリティ向上(認証とアクセス制御) : 富士通
http://fenics.fujitsu.com/products/ip...

  • 利用者は、クライアント証明書をリモートアクセス端末にインストールして持ち歩くか、フロッピィディスクやUSBメモリ、IC カードなどに入れて携帯しておかなければなりません。
  • また、インターネットカフェなどでアクセス後、WEBブラウザにクライアント証明書が残っていたりすると、不正侵入の危険性がありますので、必ず削除するなど注意が必要です。


ePass1000ND|ユーザ認証・クライアント認証Windows7 64bit対応
http://www.ftsafe.co.jp/products/epas...

  • インストール作業が不要で、PCに接続するだけで利用可能


USBトークンがライフスタイルを変える未来 - @IT
http://www.atmarkit.co.jp/fsecurity/r...

  • 社員にUSBトークンだけを配れば、ファイルの暗号化・復号のための手段と同時に、PKIに必要な証明書/秘密鍵も行き渡る。少ない負担で情報漏えいに対する防御態勢も構築できる

この問題の,正式な問題と公式の解答: