#qpstudy 2015.11 20分でわかるPKI

1. 20分でわかるPKI
Public Key Infrastructure
#qpstudy 2015.11
Aki@nekoruri

2. 20分でわかったつもりになるPKI
Public Key Infrastructure
#qpstudy 2015.11
Aki@nekoruri
前座2

3. アンケート
• PKI
• 公開鍵証明書
• SSL証明書
• 公開鍵暗号
• SSHの公開鍵認証
会場では、公開鍵暗号自体はそれなりに
理解をしているという人が多いようでした。

4. 公開鍵暗号
• 鍵配送問題を解決する発明(1970年代)
• PKI（公開鍵基盤）の根拠
• 二つの鍵を分離
• 暗号化用の鍵 ⇒ 公開鍵を公開
• 復号用の鍵 ⇒ プライベート鍵を秘匿
• 主な用途
• 暗号化
• デジタル署名
• 鍵交換
「Private key」の訳語はたくさんあります
が、今回は『暗号技術入門』の「プライベー
ト鍵」に揃えました。

5. 鍵配送問題
共通鍵暗号
公開鍵暗号
アリス ボブ
暗号文
共通鍵
アリス ボブ
暗号文
公開鍵
プライベート鍵
別の手段で秘匿しなくはいけない
秘匿の必要はない＝公開鍵
平文
平文
共通鍵
秘匿の必要性がなくなり、別の手段が無くて
も安全に通信ができるようになりました。

6. デジタル署名
• 公開鍵暗号を「逆向き」に利用
• 「公開鍵」で復号できたら正しい相手
アリス ボブ
デジタル署名
公開鍵
プライベート鍵
平文平文
公開鍵
「逆向き」が提供されない、デジタル署名に
利用できない公開鍵暗号アルゴリズムもあり
ます。

7. 鍵配送問題 その2
「公開鍵暗号なら安全」と言ったな。
あれは嘘だ。
アリス ボブ
暗号文
公開鍵
プライベート鍵
秘匿の必要はない＝公開鍵
平文

8. 鍵配送問題 その2
• 公開鍵を配送するときの
man-in-the-middle攻撃
（MITM・中間者攻撃）
に弱い
• 公開鍵の「真正性」
がだいじ
アリス ボブ
公開鍵
プライベート鍵
平文
マロリー偽公開鍵
暗号文
プライベート鍵
貴方のもつ「公開鍵」は、
本当に正しいものですか？

9. 鍵配送問題 その2
• 公開鍵が信頼できないなら
デジタル署名も無力
アリス ボブ
公開鍵
プライベート鍵
平文
マロリー偽公開鍵
プライベート鍵
平文 デジタル署名
「隠さなければならない」という要件が無
くなっただけで、依然として「安全に鍵を相
手に送る」という要件は残っています。

10. 「何も信頼できない状態から
信頼を作り出す技術は
まだ生み出されていません」
結城 浩『暗号技術入門 第3版』
(SBクリエイティブ、2015年)
276ページ
ネットワークにおける「信頼」の本質です。

11. PKI
• 公開鍵暗号をうまく使うための枠組み
• PGPとSSHを除く世の中のほぼ全てがこの上に乗っかっている
• 覚えて帰るべきポイント
• 公開鍵証明書
• 階層化された認証局（CA）
• トラストアンカー
「PKI」とは枠組みそのものであり、細かい
仕様などの総称でもあります。

12. 公開鍵証明書
• 公開鍵に第三者がデジタル署名
• ボブとクリスのどちらかの
公開鍵があれば
良い
アリス ボブ
デジタル署名
公開鍵
プライベート鍵
平文平文
クリス公開鍵
クリス公開鍵
証明書
クリスのデジタル署名
ボブ公開鍵
まず「信頼」を作り出す枠組みを用意します。

13. 階層化された認証局（CA）
• 公開鍵証明書にデジタル署名する「信頼できる第三者」
• 一番上の認証局の公開鍵さえ安全に配布できれば、
その「下」にぶら下がる公開鍵証明書の安全を担保できる！
ボブ
公開鍵
クリス
公開鍵
証明書
ドロシー
公開鍵
証明書
公開鍵 公開鍵
いわゆる
「ルート証明書」
公開鍵
証明書
次に「信頼を連鎖」させる枠組みを作り、
「信頼する相手」の数を最低限に絞ります。
これが「CA」です。

14. 実際のCA階層化の例
信頼されたジオトラストの
公開鍵証明書
ジオトラストから信頼された
Googleの公開鍵証明書
個別の公開鍵証明書
Googleさん自前でCA持ってたんですね……。
https://pki.google.com/

15. トラストアンカー
• 「信頼の起点」
• いわゆる「信頼されたルート証明書」

16. 「何も信頼できない状態から
信頼を作り出す技術は
まだ生み出されていません」
結城 浩『暗号技術入門 第3版』
(SBクリエイティブ、2015年)
276ページ

17. トラストアンカー
• 「信頼の起点」
• いわゆる「信頼されたルート証明書」
• ここが侵されたら何をされてもおかしくない
• 不正なサーバへの接続
• 不正なバイナリの実行
PKIとは、要するに「トラストアンカー」を
基準に世の中の様々なものを信頼していく
ための枠組みです。

18. とあるWindows PCでのルート証明書一覧
この全てを「絶対的に信頼」している訳です。
たとえばブラウザの接続先の検証だけでなく、
Windows Updateやウイルススキャナなどの
自動アップデートでもデジタル署名の検証が
入りますので、ここに不正なルート証明書が
登録されれば、気付かない間に不正な実行
ファイルがインストールされてしまう可能性
が出てきます。

19. これ全部
信頼してるの？
マジで？

20. 私たちが信頼している「何か」
私がインストールしたブラウザに含まれるルート証明書
ブラウザの配布者が決められたポリシーに従ってビルトイン
CA/Browser Forumでガイドラインを策定
・Baseline Requirements
・WebTrust for CA
米国公認会計士協会・カナダ勅許職業会計士協会
が定める認証局の基準
・EV Guideline
原則はガイドラインがあります、が……

21. 私たちが信頼している「何か」
私がインストールしたブラウザに含まれるルート証明書
ブラウザの配布者が決められたポリシーに従ってビルトイン
＋
管理者が登録したルート証明書
安易にルート証明書を
組み込まない鋼の心
「管理者」には、そのPCのユーザ自身だけで
無く、ハードウェアベンダーや販売者、企業
の情シス部門なども含まれます。
絶対的に信頼しているトラストアンカーに何
かを「仕込まれる」ことの危険性が、この一
連のスライドで最も伝えたいことです。

22. 最近の課題
• トラストアンカー（ルート証明書）の不適切な扱い
• Superfish（オレオレCAのプライベート鍵が共通＝公開）
• 信頼できない認証局
• Symantec(Verisign)が実在ドメインの証明書を内部テストに利用
• 認証局システムへの侵入
• 利用する暗号化アルゴリズムの危殆化
• 2048bit RSAへの移行
• SHA-2への移行
このスライドの公開準備中に、プライベート
鍵を不適切に扱うSuperfish同様の
「eDellRoot」が発見されてしまいました。

23. PKIの今後
• PKIベースのデジタル署名の活用
• ウェブにおけるHTTPSの「当たり前」化
• SMTPのTLS化
https://googleonlinesecurity.blogspot.jp/2015/11/new-research-encouraging-trends-and.html
• S/MIMEの活用
• PKIは「最後の砦」
• DNSやIPアドレスはもはや信頼できない
• 「暗号学的」に守ってくれるのは、今ここにあるPKIだけ
• 正しく理解し、適切に利用していく必要があります。
「暗号学的に守るのが当たり前」の時代に
なりつつあり、PKIの正しい理解が必須です。