アフィリエイト広告を利用しています
検索
<< 2024年11月 >>
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
最新記事
(11/22)エンティティ参照への対応 〜プログラム研究室〜
(11/21)htmlspecialchars 〜プログラム研究室〜
(11/20)アロー関数 〜プログラム研究室〜
(11/19)無名関数 〜プログラム研究室〜
(11/17)サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF) 〜セキュリティ研究室
タグクラウド
カテゴリーアーカイブ
YouTubeでの稼ぎ方研究室(23)
システム開発研究室(114)
セキュリティ研究室(40)
システム監査研究室(13)
ハードウェア研究室(17)
ネットワーク研究室(6)
ソフトウェア研究室(76)
プログラミング研究室(97)
デザイン研究室(1)
データベース研究室(3)
先端技術研究室(3)
株式投資研究室(35)
人工知能研究室(6)
Coffee Time(67)
ゼロからはじめるシステム開発(1)
ファン
 このブログの読者になる
 更新情報をチェックする
 ブックマークする
 友達に教える
最新コメント
Ubuntuをインストールする −インストール準備− 〜ソフトウェア研究室〜 by 中村 健 (03/11)
プロフィール
ゼロから始めるシステム開発さんの画像
ゼロから始めるシステム開発
 こんにちは!ナビゲータのEVEです。各種研究室を用意し、次期EVEシステムを製造しようと日々頑張っています。現在一番力を入れているのが、資金調達です。このブログもその一環ですので、ご協力いただければ嬉しいです。
プロフィール
<< XServerメイン画面 [ハードウェア研究室] | TOP | ドメインを購入する 〜Xserver管理画面〜 [ハードウェア研究室] >>

2022年10月26日

SSHの秘密鍵をクライアント、サーバーどちらに配置する? [ソフトウェア研究室]




 こんにちは!
 ナビゲータのEVEです。

 昨日、SSHの鍵ペアの作成の話で、Xserverに対して、セキュリティできていないんじゃないの?という発言に似た意見をしましたが、「Ubuntu サーバー徹底構築」を読んでいると、そうでもないらしいということが分かりました。どういうことかというと、TeraTermなどは、初回接続時に鍵ペアを作成し、その秘密鍵をサーバーに、クライアント側に公開鍵を配置するという仕様らしいのです。

Ubuntu サーバー徹底構築 [ 麻生二郎 ]

価格:3,058円
(2022/10/26 17:50時点)
感想(0件)



[暗号化におけるサーバー、クライアントのいずれかに秘密鍵を持たせる意味]
 昨日、内部犯行について懸念していましたが、鍵ペアのいずれかを持っていれば、どのみち通信内容は復号できてしまうので、どちらで、どの鍵ペアをもっているのかという点については、あまり気にする必要はないのかもしれません。



[秘密鍵を配置する意義について]
 では、秘密鍵をクライアントまたはサーバー側に配置するという意義について考えると、通信の真正性を確認するという点になります。ようは、秘密鍵がクライアント側にある場合、サーバー側がクライアントの真正性を判断することになります。その逆だと、クライアントがサーバーの真正性を判断するということになります。
 もっと分かりやすくいうと、クライアント側に秘密鍵を配置する場合は、自分で完全にサーバーを管理している場合になります。想定しているユーザー以外のクライアントが接続した場合、公開鍵に対応する秘密鍵は世界に1つだけなので、接続してきたユーザーは、サーバー側から見たら想定外のユーザーということになります。
 その逆で、サーバーに秘密鍵がある場合、そのサーバー自体または運営者に疑念がある場合に、配置するというやり方です。普段利用している公開鍵を利用して、サーバーへSSHでアクセスに行ったら拒否されたら、それは、もしかしたら業者側で勝手に移行作業をしたのかもしれません。そして、公開鍵は一般に公開されていて当然の鍵なので、複数のクライアントが持っていてもなんの不思議もありません。そのため、不正侵入ということがあるかもしれません。



[公開鍵暗号方式でなくてもいいのでは?]
 ただ、よく考えると公開鍵暗号方式といいながら、PKIに相当するシステムに組み込まれているわけではありません。秘密鍵をもっているのが本当に誰なのかということを第三者が保証をしてくれているわけではないのです。よく考えると共通鍵でいいんじゃない?って気がしてくるのは私だけでしょうか?

[SSHのいろいろな方式]
 SSHを利用する場合、一番セキュリティが高い方式が、公開鍵暗号方式なのですが、あと、パスワード認証方式ホストベース認証方式があります。情報処理安全確保支援士試験では、以上の3つの方式に関して聞かれることがあるので、しっかり勉強しておくことをお勧めします。
 ちなみに今回のケースから、秘密鍵が漏洩するから申請・使用する側が秘密鍵を作成・保有していなければいけないとバカの一つ覚えのように覚えていましたが、ケースバイケースでいろいろな使われ方があるということを学びました。

 これ以降の管理ですが、クラウドVPSサーバーを利用するに際し、秘密鍵は、サーバー側に持たせることにします。Xserverを疑うわけではないのですが、クライアントの真正性は自分が保証できるので、じゃ、どっちという質問から、サーバー側という回答になっただけです。



[インターネットで調べてみて]
 インターネットで、TeraTermについて、調べてみると、公開鍵をサーバーに設定するといった記述も見られます。インターネットは、お手軽に情報を公開できる分、信頼性がないところがあります。私は、「Ubuntu サーバー徹底構築」の内容を信じたいと思います。

 今まで何の気なしに利用したサービスですが、このような形でブレーンストーミングしてみるのもいいモノだと思った、今日の検証でした。まさに、研究室という呼称をわざわざつけた意味があった本日の課題でした。

 では、また!

追伸・・・。
 本日SSHの認証方式に、公開鍵暗号認証方式、ホストベース認証方式、パスワード認証方式があるという話をしましたが、その中のホストベース認証方式が、情報処理安全確保支援士試験で勉強した内容と、Ubuntu サーバー徹底構築に書かれている内容に差異があったので、報告させていただきます。Ubuntu サーバー徹底構築は、ホストベース認証方式とは、秘密鍵をクライアント側に、公開鍵をホスト側に配置する方式だと記述されています。私が使用している、情報処理安全確保支援士の本には、サーバに登録されたクライアントのホスト名で認証すると書かれています。しかも、2021年までは、その部分に解説としての載せていたのですが、2022年の本は、問題文に記述されているのみです。Ubuntu サーバー徹底構築に書かれているように、クライアントの秘密鍵で特定するから、ホストベースという言い方もありかなって考えてしまいます・・・。
 いろいろな本を読んでいて、違うまたは微妙に違うということは多々あります。あとは何を信じるかですね(笑)???

タグ:クラウド VPS ssh 公開鍵暗号方式 PKI パスワード認証方式 ホストベース認証方式 情報処理安全確保支援士
【このカテゴリーの最新記事】
posted by ゼロから始めるシステム開発 at 17:45 | Comment(0) | TrackBack(0) | ソフトウェア研究室
この記事へのコメント
コメントを書く

お名前:

メールアドレス:


ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバックURL
https://fanblogs.jp/tb/11650208
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック