OpenIDのセキュリティモデルについて - 日向夏特殊応援部隊
はじめに 僕自身がセキュリティに対する暗号化の知識が足りなさ過ぎたので、ここで思い切ってまとめてみようと思います。 HMAC-SHA1 Diffie-Hellman鍵共有 について主に述べます。 現代の暗号化技術について (via: wikipedia) 現代の暗号ってのは概ね2パターンしか無くて、 共通鍵*1 公開鍵・秘密鍵 って奴です。 共通鍵ってのは代表的なのはパスワード認証なんかはそうで、データを送信する側(概ねサーバーとか)とデータを受信する側(ユーザー)は共に同じ共通鍵であるパスワードを知ってるってケ−スがそれ。DESとかAESが使われます。 公開鍵・秘密鍵ってのはsshでの公開鍵認証でも使われているように、データの暗号化に公開鍵を使い、データの複合化に秘密鍵を使う。従って特定のデータを複合出来るのは秘密鍵を所持している人のみ可能だって事になります。RSAだとかDSAが使われて
Re:本当は怖いOpenIDによる認証 - 日向夏特殊応援部隊
このエントリはmitani1207の日記の返信です。 OpenIDによる認証を受け入れるということは、自分のサイトのIDとパスワードの管理を外部サイトに委託することになる。 外部サイトがパスワードをどう管理しているかはわからない。もしかしたら、生でDBに保存してあって、管理者がSELECT * FROM USER_TABLEとかで簡単にとれちゃったりするかもしれない。これは課金情報やプライベートなデータを扱っているサイトにとっては心配だ。 この前提は同感ですね。 OP(IdP)がどのような管理を行っているかなんて、利用者あるいはRP(Consumer)からは判断のしようが無いですからね。 でこの辺りの話は手前味噌ですが、@ITでのOpenIDの連載で書かせて頂きました。 OpenIDをとりまくセキュリティ上の脅威とその対策 (3/3):OpenIDの仕様と技術(4) - @IT にある、「
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
