Webコンテンツの表示 Webコンテンツの表示

Login to IMDS

Webコンテンツの表示 Webコンテンツの表示

Webコンテンツの表示 Webコンテンツの表示

セキュリティ

暗号化技術

暗号化技術

皆様のコンピュータ(クライアント)とマテリアル・データ・システム(サーバー)間における通信は、セキュア・ソケット・レイヤー・プロトコル(SSL)に基づいています。SSLでは、2種類の暗号が使用されています。

共通鍵暗号方式: 送信者と受信者は同じ鍵を所有しています。この共通の鍵でメッセージが暗号化・解読されます。送信者と受信者のみが、その鍵を知っていなくてはなりません。従って、共通鍵は安全なチャンネルを経由し、交換されなければなりません。

公開鍵暗号方式: 公開鍵と秘密鍵を含む一組の鍵が使用されます。どちらかの鍵を使用し暗号化されたメッセージは、もう片方の鍵を用いて解読することができます。公開鍵暗号方式には、どちらか片方の鍵を機密扱いにする必要がないという利点があります。SSLはRSA手順に従い、公開鍵暗号方式を使用しています。RSAはこの手順の発明家、Rivest、Shamir、Adlemanを表しています。
 
しかし公開鍵暗号方式は、共通鍵暗号方式と比較すると非常に時間がかかります。そのため、この方式は共通鍵とセッション鍵の交換を安全に行うためだけに使用されるものです。全顧客およびデータ処理は、このセッション鍵を用いて暗号化されます。SSLでの安全な接続は、以下の方法で行われています。

  • クライアントがセッション確立の要求をサーバーに伝えます。
  • サーバーからクライアント宛に公開鍵が送付されます。この公開鍵を用いてセッション鍵が転送されます。サーバーは認証が含まれた形式でセッション鍵を送付するため、クライアントは公開鍵が正しいサーバーから送られてきたことを確認できます。認証は、独立性を保った信頼できる組織である認証局(CA)から発行されており、サーバーの公開鍵に加えてサーバーを認識する独自の情報を保有しています。また、公開鍵の信頼性および完全性を保障するため、認証局の秘密鍵を用いて行われます。IMDSは、ISO X.509に順じたベリサインの認証を使用しています。
  • ベリサインの公開鍵は、クライアントのブラウザに標準で埋め込まれています。ブラウザはこの公開鍵を用い、認証の署名を確認します。署名の確認が認識された場合、認証の信頼性が承認されたことになります。
  • クライアントは、任意の番号でセッション鍵を作成します。このセッション鍵は、一回のセッションに限り有効です。クライアントはサーバーの公開鍵を用いてセッション鍵を暗号化します。これはサーバーのみ解読が可能です。
  • 続いて、クライアントはサーバーへセッション鍵を送付します。サーバーは自ら所持している秘密鍵を用いてセッション鍵を解読します。これにより安全なセッションが出来上がります。 
  • その後、クライアントとサーバーの間で実際にメッセージの交換が行われます。このセッション中の全てのメッセージは、共通のセッション鍵を用いて暗号化・解読されます。データ通信中にメッセージの変更が起こった場合に、それを認識するためのメッセージ認証コード(MAC)が各メッセージに追加されます。
  • セッションが終了すると、このセッション鍵はクライアント並びにサーバーから削除されます。

プロトコル

セキュリティプロトコルSSLv3を使用するには、ブラウザにいわゆるCA(認証局)の認証が必要です。CA認証は始めからブラウザに埋め込まれ、ユーザーには直接的な影響を及ぼしません。通常、認証は制限付きで有効となっています。SSLv3セキュリティ認証で守られているページにアクセスすると、ブラウザのバージョンによっては、無効となったCA認証が原因でエラーメッセージが表示されることがあります。これによりサーバーへの接続の安全性が影響を受けることはありませんが、接続で不可の状況が起こる可能性があります。従って、古いバージョンのブラウザを使用してセキュリティで守られたサーバーにアクセスしようとすると、接続に問題が生じる可能性があります。 場合によってはIMDSが利用できなくなる可能性があります。

次に、この問題は認証の有効期限に関係しています。例えば、サーバーの認証には1年間の有効期限が設けられており、無効となる前に1年延長されます。これらのサーバーの認証は弊社のオペレータにより直接制御されます。つまり、弊社のサーバー上の認証は最新に保たれており、有効期限が切れる前に、弊社がサーバーの認証の延長を行います。しかしながら、影響を受けるCA認証はブラウザの一部分であり、既にブラウザソフトウェアと同時に提供されています。前述の古いバージョンのブラウザに古いCA認証が含まれている場合、有効期限は該当するCAにより既に設定されているため、問題が発生する可能性があります。ブラウザの新しいバージョンには通常、より長い有効期限が設定されたCA認証が含まれています。

詳細技術情報
このトピックの技術的概要にご興味をお持ちの方、もしくは技術者の方には、ベリサインにて、より詳細な背景情報(英語)を入手頂けます。