いきなりですが問題です.
前の金曜日の午後,ネットワークセキュリティの授業では,https://などで使われるSSL/TLS (Secure Sockets Layer / Transport Layer Security)と,リモートログイン(例えば自宅から大学サーバにログイン)を安全に行うSSH (Secure Shell)を解説しました.一つ前の週には,信頼される第三者を置かないセキュリティの一つとして,通信ではなくメールやファイルを暗号化するソフトウェアのPGP (Pretty Good Privacy)を取り上げました.
授業終了時に10分程度で解いてもらう,まとめテストは,いつも授業実施日の朝に作成しています.最初に思い浮かんだのは上記ですが,配付資料に大部分の答えが載っていることに気づいて,作り直しました.
続きまして問題です.
SSL/TLSにおける暗号スイートの一つ,「TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256」は,次のように読むことができる.
- TLSを使用
- 鍵交換は楕円曲線Diffie-Hellmanの短命型
- サーバ認証はRSA
- 通信の暗号化はAES,鍵長128ビット
- ブロック暗号のモードはGalois/Counter Mode
- ハッシュはSHA-256
これまでの知識を見直しつつ,未知なもの*1も入れて,考えてもらおうと,文章化したものの,今さら「SSL」のことを問うのはなあと思いまして,これもボツにしました.
最終的に授業で提示した問題です.
「セキュリティ企業を買収すること」以上にインパクトと実効性のある,セキュリティ業界を支配する方法を提案しなさい.
PGPにはGnuPG,SSL/TLSにはOpenSSL,SSHにはOpenSSHと,無料で利用できるソフトウェアがあるとはいえ,SSL/TLSの公開鍵証明書は,信頼のあるところから発行(署名)してもらうのが一般的です.大学のサーバであれば,国立情報学研究所が提供しているUPKI 電子証明書発行サービスが選択肢となりますが,企業なら,お金を払って証明書を発行してもらうのが,自作よりも良い運用とされています.
その発行をワールドワイドで行っているのはというと,10年前の授業なら「ベリサイン(VeriSign)」でしたが,ベリサインの電子証明・個人認証事業は2010年にシマンテック社が買収しています*2.商用SSHについても,紆余曲折があったのでした.
提出された解答や,こちらで用意していた答えについては割愛します.来年度以降も使うかもしれないので.
