デジタル証明書の仕組み
◆ デジタル証明書とは デジタル署名によりデータの改ざんは検知することが分かりました。しかしながら、デジタル署名だけでは そもそも配布されている公開鍵が本当に正しい公開鍵(下図ではAさんの公開鍵)なのかを確認することが できません。デジタル署名の解析用の公開鍵が正しいことを証明するためにはデジタル証明書を使用します。 デジタル証明書をデジタル署名に付属させることで、データの改ざんを検知できるだけでなく、公開鍵が 正しいものであると確認できて、さらに認証局(CA)を通してデータの作成者を証明することができます。 デジタル証明書のフォーマットはITU-T X.509で規定されています。印鑑証明書と比較して見てみましょう。 デジタル証明書のフォーマットの詳細は、「バージョン情報、シリアル番号、公開鍵証明書の署名方式、 公開鍵証明書の発行者である認証局の X.500 識別名、有効期限、本証明書内に
STARTTLS - Wikipedia
このうち、POP3、IMAP、SMTPについては、RFC 8314 でSTARTTLSよりも暗黙のTLS接続の使用が推奨となっている。 SMTPにおけるSTARTTLS[編集] TLSを使う方法は、TLSと同レイヤで動作するその他のプロトコルと同様であり、複数のTLSライブラリ実装でサポートされている。 TLSのSMTP拡張 (RFC 3207) で、クライアント(以下ではCとする)とサーバ(以下ではSとする)がセキュアなセッションを開始するまでのやりとりは、例えば次のようになる[2]。 S: <TCPポート25番で接続要求を待つ> C: <接続をオープンする> S: 220 mail.example.org ESMTP service ready C: EHLO client.example.org S: 250-mail.example.org offers a warm hug of
Let's encrypt運用のベストプラクティス - Qiita
この記事について Let's encryptは無料で使用できるSSLプラットフォームです。certbotコマンドを使って、簡単にSSL証明書の取得と更新ができます。 しかし、あまりに簡単で手軽すぎるためか、ネット上ではやや問題のある手順が紹介されているケースが見られました。私なりにベストと思われる手順をまとめておきますので、改善点があれば教えてください。 DNSの設定、Webサーバのセットアップ、certbotのインストールは完了しているとします。またcertbotのコマンド名はcertbot-autoで、$PATHが通っていると想定します。 証明書の取得 以下のような補助スクリプトを準備します。
RSA鍵、証明書のファイルフォーマットについて - Qiita
RSAの公開鍵暗号技術を利用するためには、鍵や証明書のファイルを扱う必要があるため、そのファイルフォーマットについて理解しておく必要があります。 実際、いろんな拡張子が登場するので、それぞれの意味を理解していないとすぐにわけがわからなくなります。そんなときのために備忘録をまとめてみました。 ファイルの拡張子の注意点 .DERと .PEMという拡張子は鍵の中身じゃなくて、エンコーディングを表している デジタル暗号化鍵やデジタル証明書はバイナリデータなのですが、MD5のハッシュ値のような単なる 値 ではなく、データ構造をもっています。.DERや .PEMはそのデータ構造をどういうフォーマットでエンコードしているかを表しています。そのため、.DERや.PEMという拡張子からそのファイルが何を表しているのかはわかりません。暗号化鍵の場合もあるし、証明書の場合もあります。 .DER 鍵や証明書をAS
CSRを作成したい | さくらのサポート情報
CSRとは CSR(Certificate Signing Request)とは、 SSLサーバー証明書を発行するための証明書署名要求のことです。 CSRには公開鍵の情報と、 組織名や所在地等の情報(Distinguished Name=識別名)が含まれており、 認証局は提出されたCSRにサーバー認証機関の署名を行い、 サーバー証明書として発行します。 CSR作成時に指定する項目について CSR作成時に以下の項目を指定いただきますので、 あらかじめ必要項目をご確認ください。
サーバーの処理を肩代わりする「オフロード」とは? (1/3)
本連載では、ロードバランサーや帯域制御装置、WAN高速化装置などで用いられているアプリケーショントラフィック管理の技術について解説している。前回はQoSやキャッシング、ロードバランサーなどの技術を紹介したが、今回はサーバーの処理を肩代わりするオフロードの機能について見ていく。 サーバーの処理を肩代わりする 「オフロード」の必要性 ロードバランサーや統合的トラフィック管理装置を導入しても、アプリケーションの処理自体はサーバーに依存している。 ロードバランサーをレストランの給仕に例えれば、給仕さんはシェフ(=サーバー)の作業を見ながら注文を振り分けているだけで、シェフの仕事自体を担っているわけではない。素材を切ったり、焼いたり、盛りつけたりするのはあくまでシェフの仕事なのだ。そのため、全体の処理能力を向上させるには、やはりシェフの人数を増やすしかない。とはいえ、お客さんも美味しくて見栄えもよい
Windows OSで、証明書や秘密鍵をPEM形式に変換してエクスポートする
Windows OSで利用している電子証明書(以下、単に「証明書」)をUNIX/Linux環境に移したい。でも、両者の証明書の取り扱い方が違い過ぎてやり方が分からない……。そんな状況に遭遇したことはないだろうか。 本Tech TIPSでは、Windows OSで利用している証明書を、UNIX/Linuxの世界でよく使われている「PEM(Privacy Enhanced Mail)」形式に変換することで、より簡単に移行できるようにする方法と注意点を説明する。これにより、例えばWindows OSのIISで使っていたサーバ証明書を、クラウドやレンタルサーバ上のApache HTTP Serverに移す、といったことが可能になる。 変換作業はWindows OS上で行う。Windows OS標準ツールの他、オープンソースのSSL/TLSツールキット「OpenSSL」も利用する。Tech TIPS
メールの送受信を暗号化するPOP3s/IMAP4s/SMTPs(over SSL)とは
メール送受信用のPOP3/IMAP4/SMTPプロトコルでは、メール本文や認証用パスワードが暗号化されないため、盗聴によって悪用される恐れがある。この欠点をSSLで解消したプロトコル「POP3s/IMAP4s/SMTPs」が、次第にISPなどのメール・サービスに導入されている。メール・サーバおよびメーラがPOP3s/IMAP4s/SMTPsに対応していれば、メーラの設定を変更すると、これらのプロトコルを利用できるようになる。 連載目次 解説 メールの内容や認証用パスワードが盗聴されたり、漏えいしたりするのを防ぐため、ISPやメール・ボックス提供サービス(メール・サービス)でPOP over SSL(POP3 over SSL、以下OP3s)やIMAP over SSL(IMAP4 over SSL、以下IMAP4s)、SMTP over SSL(以下SMTPs)という技術の導入が進んでいる
SSLとPKI・電子証明書ガイド|GMOグローバルサイン【公式】
SSL/TLSとは?詳細と必要性を簡単解説 SSLは、インターネット上のデータ通信を暗号化し、第三者による情報の盗聴や改ざんを防ぐ仕組みのことです。 SSLとは? SSLの使い方・必要性 SSLで防ぐ3つのリスク SSL導入の流れ
SSLが破られる -- ハッカーがMD5の衝突を利用してCA証明書の偽造に成功
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-01-06 14:15 米国と欧州のハッカーのグループが、200台からなるPlayStation 3のクラスターの計算能力と、約700ドル相当のテスト用の電子証明書を使い、既知のMD5アルゴリズムの脆弱性を標的にして偽の証明機関(CA)を作る方法を発見した。これは、すべての最新のウェブブラウザによって完全に信用されている証明書を偽造することを可能にするブレークスルーだ。 この研究は、現地時間12月30日にドイツで開かれていた25C3カンファレンスでAlex Sotirov氏とJacob Appelbaum氏が発表したものだ。この研究は、最新のウェブブラウザがウェブサイトを信頼する方法を事実上破り、攻撃者がほぼ検知不可能なフィッシング攻撃を実行する方法を提供する。 この研究が重要なのは、
Lesson4:相手が信頼できることを確かめる「サーバー証明書」とは?
Lesson4では,通信相手のサーバーが信頼できるかどうかを確認するしくみを見てみよう。ここでは,サーバーがクライアントに送信する「サーバー証明書」に注目する。 証明書には「署名」が付いている サーバー証明書は,サーバーの管理者が,「認証局」と呼ばれる組織に申請して発行してもらう(図4-1)。サーバー証明書には,サーバー運営者の組織名,認証局の組織名,証明書の有効期限,サーバーの公開鍵などの情報が書き込まれている。さらに,サーバー証明書には認証局の署名が付いている。署名とは,証明書の内容をハッシュした値を,認証局の秘密鍵で暗号化したデータである。 図4-1●「サーバー証明書」と「署名」とは? サーバー証明書は,サーバーの各種情報が書き込まれた情報で,サーバーの公開鍵が含まれている。サーバー証明書には,認証局の署名(証明書を認証局の秘密鍵で暗号化したデータ)が付いている。 [画像のクリックで
暗号入門:ハイブリッド暗号|SBINS
皆様に多くのお問い合わせをいただいている暗号技術について、暗号入門と題して数回に分けて解説します。 第5回目の今回は、ハイブリッド暗号について、もう少し詳しく説明します。 ※掲載されている情報は掲載日時点での情報です。 公開鍵暗号方式は、相手へ容易に鍵を渡すことができる安全で強力な暗号ですが、処理速度が遅いため、大量のデータ処理や速度を要求される処理には向きません。 一方、共通鍵暗号方式は、速度も比較的速く扱いやすい暗号ですが、どうやって鍵を受け渡すかという大きな問題があります。 この2つの欠点を補い合う形で組み合わせて使われることが良くあります。 下の図のように、共通鍵暗号方式を使って平文を暗号化し、その暗号化に使用した「共通鍵自体」を公開鍵暗号方式を使用して暗号化し、相手に送るという方法です。このような方法のことを、ハイブリッド暗号、ハイブリッド方式などと呼んでいます
HTTPortでファイアーウォール(プロキシ)を超えよう
0.会社からインターネットに接続できないことがある!? 会社にパソコンが設置され、インターネット接続環境がある。支給されたパソコンからブラウザでいろいろなサイトを閲覧することが出来る。 という環境がそろっていながら、特定のファイルをダウンロードできない・メールを送受信できない・FTPソフトが使えない・VNCなどの遠隔ソフトが使えない、など、インターネットに接続できる環境が制限されてはいないだろうか? その原因は「ファイアーウォール」にある。 1.ファイアーウォールとは パソコン側回線(LAN)とインターネット側回線(WAN)が直結している場合、インターネット側からパソコンへの不正侵入やパソコン側からインターネットへの不正侵出が容易になり、セキュリティーに影響することがある。そのため、LANとインターネットの中間に「関所」を設けてそれらをチェックし、危険な場合には通信を遮断する必要がある。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
設定マニュアル | JPRS