2015年4月2日木曜日

【情報セキュリティ】電子署名とタイムスタンプで防止する4つの脅威

こんにちは。

満開の桜に心を癒やされている気がする鷲尾です。

今週から4月にかけて、桜のラッシュだそうです。
ぜひ土日には桜を見に行きたいですね。


さて、今回は前回の続き、電子署名についてです。
前回の内容はこちら

前回は、「もし公開鍵証明書が発行されていなかったら」といった場合を例に、公開鍵証明書の信頼性や必要性を紹介しました。

今回は電子署名ということで、電子署名とはどういったものなのか、電子署名によって何が出来るのかについて書きたいと思います。


■電子署名とは
前回も触れましたが、電子署名とデジタル署名の違いは、みなさんご存知でしょうか。デジタル署名?電子署名を英語で言っただけじゃないの?とお思いの方もいらっしゃるかもしれません。

電子署名とは、インターネット上で商取引を行う際に通信相手が本人であること、また通信内容が改ざんされていないことなどを電子的に証明するものです。早い話が現実世界での「ハンコを押す」、「サインをする」といったものと同じです。そういった行為の仕組み、その電子版が電子署名というわけです。この電子署名という仕組みを実現する最も有力な方法が、公開鍵暗号方式を使った「デジタル署名」なんです。このデジタル署名にも実は数種類ありまして、例として使用する公開鍵暗号方式の方式ごとに、

・RSA方式
・DSA方式
・ECDSA方式

などがあります。


■電子署名とタイムスタンプ
電子署名の仕組みは、様々な技術を組み合わせて実現されています。現実社会で一般的に「証拠」といわれるものを論じる際、多くは「いつ、だれが、なにを、どこで」だと思います。
「どこで」というのは物理的な場所だとして、この中で電子署名でカバーできるのは、実は「だれが、なにを」だけなんです。「いつ」というものは電子署名だけでは証明出来ないのです。そこで利用されているのが「タイムスタンプ」というものです。


■タイムスタンプ
タイムスタンプは、文字通り「時刻をスタンプ」し、「いつ、なにを」を証明するものです。作成された文書に「この日この時刻に、確かにこの文書は存在した:否認※」というものを証明することが出来ます。さらに、「この時刻以降、この文書は改ざんされていない:完全性」ということを証明することも出来ます。

タイムスタンプは、信頼できる第三者機関を通して「ハッシュ」という技術を使って、文書に付与されます。タイムスタンプを付与された文書は、電子署名によって「だれが、なにを」を証明し、さらに「いつ」も証明できるうえ、「否認」を防ぐことができるので、多くの場面で利用されています。

          

※参考:IPA 情処理推進機構 https://www.ipa.go.jp/files/000013707.pdf


■電子署名でできること
電子署名では、大きく以下の4つのことを防止することが出来ます。

1.なりすまし
有名なものはフィッシング詐欺などです。本物そっくりにつくられたHPなどで重要な情報を入力していますことにより、第三者に情報を知られてしまいます。しかし、こういったフィッシングサイトに飛んでしまう理由として、偽物のメールに記載してあるURLをクリックし、フィッシングサイトに飛んでしまうことが多いのです。そういった時に、偽物のメールに電子署名がされているのか、またその内容が正しいのかを確認することで、事前になりすましメールから身を守る事ができます。

2.改ざん
メールなどの内容が途中で書き換えられてしまうことです。例えば「料金は1,000円です」というメールを途中で書き換え、「料金は1,000,000円です」などとすることを言います。こういった場合は、メールに付与されている電子署名を確認します。電子署名を付与したメールには「ハッシュ値」という値が予め付与されており、文書の内容が変更されるとその値も変更されます。したがって、改ざん前のハッシュ値と比較して差異があった場合、途中で改ざんされたと判断できます。

3.否認
否認というのは、電子商取引等で、操作を行ったあとになって「やってないよ!」」と「操作したことを否認すること」です。これがなかなか厄介で、例えば株取引をしているとき、自分の操作によって大損をしたとします。もちろん、操作をなかったことになんて出来ません。しかしここで、自分が操作したにもかかわらず「そんな操作はしていない。だから株取引も無効だ」と、操作したことを認めない行為をする人がいます。これが否認です。

4.盗聴
ネット上での通信内容を、第三者が覗き見ることです。文書をやりとりする際に全く暗号化などをしていない場合、簡単に中身を覗き見ることが出来てしまいます。
しかし、電子署名を行っておくことで、第三者に覗き見られても、内容を見られることはありません。電子署名では、送り主が送る際に暗号化し、受け取り主が受け取った後に復号するためです。暗号化された文書を第三者が傍受したとしても、復号できず中身を見られることはありません。


電子署名という技術は、私達が安全にインターネットを利用するうえで無くてはならない存在です。
さらに今は当たり前のように誰もが電子商取引をします。もしネットバンキングのログインページが偽物だったら、もし重要な会社の資料を悪意のある第三者に見られてしまったら・・・

「電子商取引」というとなんだかビジネスマンや、専門家が行っているようなイメージを持つかもしれませんが、普段楽天やAmazonなどで買い物をするのも立派な電子商取引なんです。
自分はきっと大丈夫という慢心をせず、そういった危険もあるのだということを忘れないでほしいと思います。


- ちなみに -
特に否認に関しては、少し前に話題になったPC遠隔操作事件などでも、「私はやっていない」と言いはっていてなかなか決着がつきませんでしたよね。現在のIT系の犯罪は、実は紙媒体での証拠取り押さえというのは非常に少ないんだそうです。スマホに残っていた操作ログや、様々な機器を経由した時の通信ログ、GPSのログなどを調査し、証拠として扱われているようです。
常に持ち歩いているスマホには、様々な種類のデータが膨大に存在します。
こういったスマホの中に眠る電子的な証拠=デジタル・フォレンジックというものについてもどこかの機会で触れたいと思います。













0 件のコメント:

コメントを投稿