【#27 情報処理安全確保支援士】公開鍵証明書の検証 CRL OCSP
Vložit
- čas přidán 21. 08. 2024
- #情報処理安全確保支援士
#セキュリティスペシャリスト
#楽しく成長
ご視聴ありがとうございます。まさるです。
一緒に楽しく支援士勉強しましょう。
■TWITTER始めました
【まさるのつぶやき】
/ masaru_benkyou
■3D VRoid作成
紅々蘭(こくらん)様
coconala.com/u...
■過去動画
支援士の勉強一緒にしませんか?
• 一緒に支援士の勉強しませんか?
セキュリティについて語れるようになりたい
• セキュリティについて語れるようになりたい。
ゼロトラストネットワーク入門
• ゼロトラストネットワーク入門
高度試験共通 午前1
• 高度試験共通 午前1対策
ネスペ直前対策
• ネスペ直前対策
ネットワーク初心者向け動画
• まさるの小部屋
ネットワーク中級者向けの動画
• ネットワークスペシャリスト勉強メモ
■学習ツール
動画学習の強い味方
【IT用語 動画辞典】
toppakou.com/I...
動画のアップ有難うございます。何度か観て概略的に理解は出来ましたが、まだまだ知らない単語があり、
本当に理解できるのはもう少し時間がかかりそうです(苦笑)
やはり認証局の信用や保証を得るための工夫は凄いものを感じます。
焦らずに、何度も繰り返し又まさるさんの他の動画も観て勉強します。
赤井武雄 さん
いつもコメントありがとうございます(^^)
この辺りは非常に色んな要素が絡む問題なので
分かりにくいと思います。
この後、何度かに渡って少しずつ
公開鍵証明書の検証に関する動画を作成します。
そちらもご参考にして頂けると嬉しいです☆彡
引き続きよろしくお願いいたします!!
いつもありがとうございます。
いつかまさるさんにXSSを解説して欲しいです。
他サイト見ててもいまいちイメージが湧かないので。。
(既に動画あげられてたら見つけれてなくてすみません。)
Tuguさん、コメントありがとうございます!
そしてリクエストありがとうございます。
XSSについて具体的に話した動画は作った事がありませんでした。
今後タイミングがあえば作成してみようと思います。
もし今すぐXSSを理解する必要があれば
IPAが公開しているAppGoatがお勧めです。
実際にツールを使って、脆弱性が体験できたりします。
もし宜しければ下記pdf参考にして下さい!(^^)!
www.ipa.go.jp/files/000066772.pdf
いつも楽しく拝見しています。
一つ質問です。サーバ証明書を検証する際に認証局の公開鍵を取得する必要があると思うのですが、これをインターネット上で取得する場合、これが改ざんされていないことってどのように担保されているんでしょうか?認証局の情報が元々ローカルに入っていたりするんですか?
失礼しました。30の認証局の階層構造を見たら解決しました。
@@ekinococks6057 さん
コメントありがとうございます。
疑問が解決して良かったです😊
今回の疑問が浮かんでくるという事は
動画の内容をしっかり考えながら見て下さっているという事だと思います。
真剣に見て下さりありがとうございます💯
いつも動画ありがとうございます!
一つ教えて下さいますでしょうか?
自らが作ったハッシュ値と認証局の公開鍵を用いて復号したハッシュ値を比較することで、証明書を認証局が発行していること及び証明書のデータに改ざんがないことを確認できると理解しました。
では、証明書の中に入っている Web サーバーの公開鍵が確かに Web サーバーの公開鍵であることはどういう理屈で担保されているのでしょうか?
kenta hさん
コメント、ご質問ありがとうございます!
>証明書の中に入っている Web サーバーの公開鍵が確かに Web サーバーの公開鍵であることはどういう理屈で担保されているのでしょうか?
Web サーバーのサーバ証明書には認証局の署名が付いています。
認証局の署名が間違いなく、正規のものであると確認できた場合。
信頼している認証局が保証しているのだから、正規のWEBサーバの公開鍵であると判断する事ができます。
例でいうと、動画冒頭にある運転免許証のように
信頼できる機関(免許証の場合公安員会)が発行しているものであれば信頼する事ができます。
しかし、個人で勝手に作った名刺のように
信頼できない機関(スピード名刺など)が発行しているものであれば信頼する事ができません。
サーバ証明書には認証局の署名がついており、
認証局の署名の検証が成功すれば、
そのサーバ証明書を信じる事ができ
サーバ証明書の中にある公開鍵の情報を信じる事ができます。
参考になれば幸いです。
いつも動画を拝見させて頂いています。
今年の4月に試験を受ける予定なので、勉強中になります。
今回の動画を拝見させて頂き、疑問に思った事を質問させてください。
公開鍵についてですが、サーバーが発行する公開鍵は、サーバー証明書の詳細の項目にある公開鍵が該当するでよいのでしょうか?
また、クライアントがサーバー証明書を検証する時に、検証のたびに、認証局から公開鍵を発行してもらうのでしょうか?
まだ勉強したてで理解して出来ていなくて申し訳ないですが、ご回答頂けると嬉しいです。
よろしくお願いします。
ゆるたみんさん
コメントありがとうございます。
動画がお役に立ててうれしいです。
ご質問の件について、お返事します。
>公開鍵についてですが、サーバーが発行する公開鍵は、サーバー証明書の詳細の項目にある公開鍵が該当するでよいのでしょうか?
はい、サーバが発行するサーバ証明書には、
そのサーバの公開鍵が含まれています。
WEBブラウザで公開鍵の情報を見ることもできます。
下記サイト参考
jp.globalsign.com/ssl/about/authentification.html
>クライアントがサーバー証明書を検証する時に、検証のたびに、認証局から公開鍵を発行してもらうのでしょうか?
いいえ、クライアントがサーバ証明書を検証する時には
事前に用意しているルート証明書を使ったりして
サーバ証明書を検証します。
この動画シリーズでは
認証局の階層構造という動画で詳しくお話してるので
もし宜しければご覧ください
czcams.com/video/JAgmikBSVv4/video.html
引き続きよろしくお願いいたします☺
@@masaru-study
ご回答ありがとうございます。
まさるさんの動画を引き続き拝見させて頂き、勉強させて頂きます(^^)/
これからも勉強になる動画投稿頑張ってください。
応援してます!
質問ですがハッシュというのは暗号化と思っていいのでしょうか
しのしのさん
コメントありがとうございます(^^)
>質問ですがハッシュというのは暗号化と思っていいのでしょうか
ご質問の件ですが、ハッシュ化と暗号化は全く別のものだと理解して頂いた方が良いと思います。
もしお時間あれば
こちらの動画でハッシュ関数について説明していますので
ご覧になって下さい。
czcams.com/video/fa1C0LWoU7Q/video.html
いつも思うんですが、
「署名」って実際に行われていることとかなりずれていて、非常にわかりづらいと思うんですが、
「署名」=「CAの秘密鍵でハッシュ値を暗号化」ということ認識でお間違い無いでしょうか?
でその暗号化されたものをサーバに返して、クライアントとよろしくやってくれということだと思うんですが、
それであれば、「署名をつける」だと新しくなにかデータを付加するように見えますが、
実際はただ、CAの秘密鍵で暗号化しただけのように見えます。
アルゴリズムは一応つけられてますが、署名という表現で言ってしまうとややこしい気がします。
参考:#25の動画の6:50
抹茶クッキーさん
署名の手順は
①.送信者(この動画でいうCA)のメッセージ(平文)をハッシュ化したメッセージダイジェスト(MD)を作成
②.MDを送信者の秘密鍵で暗号化してディジタル署名を作成
③.平文+ディジタル署名を併せて送信
④.受信者(この動画でいうサーバ)は平文のみ取り出し、①と同じ方法でハッシュ化
⑤.受信者はディジタル署名を送信者の公開鍵で復号
⑥.④と⑤をそれぞれ比較して同じであれば成功
になります。
単に暗号化しただけというよりかは、元のデータと別のデータが生成され(4:56 あたり)、検証時には別々に切り離して復号される点からデータを付加しているイメージが沸きますでしょうか?
コメントありがとうございます。
こちらのサイトが分かりやすいと思います。
www.infraexpert.com/study/security5.html
「署名」=「CAの秘密鍵でハッシュ値を暗号化」
と記載して頂いていますが
「署名」=「CAの秘密鍵で”何を”ハッシュ値を暗号化」しているという
認識でしょうか?
そこがとても大切なポイントです。
「署名」=「CAの秘密鍵で”サーバ証明書の署名前証明書を”ハッシュ値を暗号化しています」
署名前証明書についてはこちらが分かりやすいと思います
xtech.nikkei.com/it/atcl/column/16/072100153/072100006/
参考になれば幸いです。