お品書き
はじめに セキュリティ概念 IPsecとは? 盗聴と改竄について 隠すセキュリティ ハッカーとクラッカー 鍵配送問題 ハイブリッド暗号 鶏と卵の話 人間プロトコル 公開鍵暗号 IPsec 手動鍵と自動鍵交換
お品書き公開鍵暗号-その5-
引き続き、公開鍵暗号についての一般的な話を紹介します。
以下、2人の会話をご覧ください。
 |
せんぱ~い (^ー^) |
 |
おっ。 さて、認証ツリーの話をサッサと終わらせてしまおう。(・ω・)b |
|
そうですね。 でも、認証局はみんなから信頼されなきゃいけないとう前提だから、階層というよりは平坦な構造なのかと思ってたんですけど、、、 |
|
そうだね。 ただ、さっき出てた認証局の役割を考えると、わりとユーザと認証局が近い位置にいないと厳密な確認とか検証が出来ないデショ。 |
|
(?_?) |
|
極端な話だと、アメリカの認証局が日本のユーザを確認するのは難しいんじゃないか、っていうこと。 |
|
あ~、そゆことですか。 物理的な距離だけじゃなくて、言語の壁は大きいですねぇ。( ̄~ ̄; |
|
そうすると、「日本支部」のようなものが必要じゃないか、という話になるワケ。 |
|
なるほど。。。 そうなると、日本支部が認証に関する責任を負って処理することになるわけですか。 |
|
そう、与えられた範囲でね。 つまり、一定の範囲について本部が支部に権限と処理を委任している、と言える。 |
|
ユーザを確認するのは支部がやるとして、、、 証明書を実際に発行するのは、どっちですか? |
|
それは、支部だね。 委任の仕組みが分かれば、その理由も自然と納得できると思うよ。 |
|
そうですか。。。 ボンヤリとは分かるんですけど、まだピンと来ないです~。(;´ー`) |
|
「委任」っていうのが、あんまり具体的じゃないのかな。。 |
|
うーん、そうかもしれません。 具体的には、どうやったら委任したことになるんでしょうか? |
|
上位の認証局から、下位の認証局に割り当てる証明書を発行してもらうんだよ。(o・ω・o)b その証明書を使って認証局を構築すれば、上位の認証局から委任された認証局を構築したことになる。 |
|
あ、そうか。 支部の認証局も一人のユーザとして、認証局になれる資格があるかどうか審査してもらうんですネ?(´▽`) |
|
おっ、そうそう!(^-^) もちろん、普通に証明書をユーザに配るときより、かなり厳密に色々チェックするんだろうね。 |
|
技術的には一枚の証明書をペロッと発行するだけでも、求められる要件は厳しそうですね。 |
|
上位の認証局にしてみれば、自分の分身と同じくらいの与えるに等しいからね。 |
|
なるほど~。 この関係が枝のように繋がって、木のようになるからツリー構造なんですねぇ。(´・ω・`)b |
|
はい、そゆことです。 あと特徴的なのは、認証局で使う証明書は一枚だから、ツリーの根っこは必ずひとつになるよ。 |
|
(?_?) |
|
ある認証局が下位に複数の証明書を発行することはあるから、下位方向の枝は複数。 ある認証局で使用している証明書は必ず一枚だから、親は必ず一人ということになるので、上位方向の枝は必ず一本。 |
|
はい。(・_・) |
|
そうなると、どの部分を取っても親は必ず一人のハズ。 つまり上位方向に枝分かれしないワケだから、根っこは必ずひとつ。 |
|
うん、、、実際にツリーを書いてみると分かりますね。 確かに、根っこを複数作ると上位方向への枝分かれが出来てしまいます。 |
|
これは、どこの認証局でも元を辿っていくと、必ずひとつの認証局に行き着くということ。 この根っこの認証局の信頼性が、この認証ツリー全体の信頼性を握っているというワケ。(・ω・)b |
|
逆に、ユーザ側の視点に立つと、、、 根っこの認証局を信頼することは、その認証局を根っことする認証ツリー全体を信頼したことになるわけですか。 |
|
そうだね。 この「根っこの認証局」のことを、ルート認証局という。 |
|
「ルート」は、日本語で根っこのことですね。 ブラウザなんかに入っている認証局の証明書は、ルート認証局の証明書なんですか? |
|
うん、そう。 ちなみに、枝の認証局は中間認証局という。 |
|
中間認証局の証明書は、ユーザ側で持っておく必要はないんですか? |
|
おぉ、いい質問だね!(o・ω・o)b そこに疑問を持つということは、今までの話が理解できている証拠だ。 |
|
あ、そうなんですか? ユーザはルート認証局しか知らないから、末端の認証局との間をどうやって辿るのか、漠然と不思議に思っただけなんですけど、、、ヾ(´▽`;ゝ |
|
実はそのとおりで、両端だけ分かっていても結び付けられないね。 しかもツリーの結び付きは一世代間だから、枝を一つずつ辿らないと末端まで届かないはず。 |
|
そうですよね。 末端の認証局の証明書は一つ上位の認証局の証明書がないと確認できませんし、その上位も、さらにその上位も同じですよね? |
|
うん、まさにどのとおり。 なので、ルート認証局の直属ではない認証局で発行された証明書には、その認証局とルート認証局の間にある全ての中間認証局の証明書をセットにして付けておく必要があるんだよ。 |
|
や、ややこしい。。。(TεT;) それって、ユーザは自身が信用しているルート認証局の証明書に辿りつくまで、受け取った証明書に付いてきた中間認証局の証明書を全て辿って検証しなさい、っていうことですよね? |
|
そうなんだよね。。。¬(; ̄ー ̄)┌ 実際はアプリケーションが勝手にやってるから気にならないけど、よく考えたら結構メンドクサイことをユーザに強いてるよね。 |
|
裏でそんなことやってたなんて、初めて知りましたよ~。( ̄~ ̄; 実際の環境でも、そんなに深いツリー構造があるんですか? |
|
まぁ、多くても3段ぐらいまでしか見たことないけどね。 細かくすればいいっていうものでもないし。 |
|
ツリーを深くすると面倒になっちゃうんだったら、、、 証明書はルート認証局が発行して、ユーザの確認とかを支部がやるっていうのはナシですか? |
|
まぁ、それは自由じゃない? それだったら枝の認証局は必要ないから、認証ツリー的には普通にひとつの認証局があるだけ、っていうことだよね。(´・ω・`) |
|
あそか、それは単純に組織の組み方の問題で、認証ツリーとは関係ないんですね。。。 なんか、マヌケなことを聞いてしまいました。。。( ̄◇ ̄; |
|
概念的なものだから、リアリティがなくてピンと来ないよね。 とは言っても実際には認証ツリーが組まれているので、いちおう説明しておこうと思って。 |
|
とりあえず、考え方とか言葉が分かればいいカンジですか? |
|
あ、そうだね。 いきなり中間認証局とか言われても分からないと思うし。 |
|
了解です。 これで、公開鍵基盤の話は終了? |
|
かなり端折ったけど、大雑把な話は終わりかな。 これだけでも理解できていれば、構築は出来ないまでも、何の話をしているのかぐらいは分かるんじゃないかな。(´▽`) |
|
知らない言葉、たくさん出てきましたから。 忘れないうちに、めもめも。。。φ(◎。◎‐) |
|
最近はネットワーク機器でも証明書を扱う案件がチラホラ見えるし、そのうちイヤでも覚えるようになるよ。 まだ完全に理解できてる人、そんなに多くないと思うし。 |
|
そうですか。。。(-ω-` ) でもそんな状態で、せんぱいはどうやって勉強したんです? |
|
うーん、どうだったかな。。。 忘れた。( ̄◇ ̄; |
|
あらら、、、(;´▽`) 教えてくれる人がいないなら、本とか? |
|
うん、もちろん本も読んだけど、、、 やっぱり、カラダで覚えたかもしれない。(´Д`)ノ |
|
はは、、、(;´▽`) こんな繊細な仕組み、カラダで覚えられるものでしょうか? |
|
マニュアルや資料を読む努力はするけど、どうしても分からない場合は実際に動かしてみるしかないからね。 意外と、何とかなるものだよ。 |
|
そういうもんですかね。。。(´・ω・`) とりあえず十字キーを色々と押してみて、自キャラの動きを見てみる感じに似てますか? |
|
そそ。 たぶんAボタンが通常攻撃で、Bボタンが強攻撃だよ。(`・ω・´) |
|
で、やっつけた敵から出てきた何かを拾うと、きっとパワーアップするんですよね。 同じものを連続して拾っていくと、どんどんパワーアップしますよ、きっと。(`・ω・´) |
|
で、敵の弾が避けられそうになかったら、強攻撃を出せば弾幕を打ち消してくれるよ。(`・ω・´) |
|
で、最後に出てくる大きいやつを倒せば、ステージクリアですね。(`・ω・´) |
|
そそ。 きっとボスの攻撃はキツいから、強攻撃は出来るだけ温存しておかないとね。(`・ω・´) |
|
それと、直前で死なない努力も必要ですね。 火力がないと、いくらコンティニューしても倒せない場合がありますし。(`・ω・´) |
|
死んだところから再開できるタイプならゴリ押しでイケるけど、少し前まで戻されるタイプの場合はアウトかもしれないねぇ。 圧倒的な火力で倒されたら、続きやる気をなくすよ。(`・ω・´) |
|
弱点に溜め弾当てれば死ぬタイプの相手だったら、まぐれ当たりでのクリアに期待が持てますよ。(`・ω・´) |
|
あるある。(*´▽`) こういうのって、最近のゲームも変わらないのかなぁ? |
|
最近ゲームやってないので、分からないですが。。。 昔のゲームは、確かに実質マニュアル不要でしたね。 |
|
コマーシャルとか見てると、十字キーとボタンだけでどうやってキャラ動かすのか不思議に思うことがあるよ。 例えばサッカーとか野球とか、あの人数をどうやって同時に操作するんだろ?(@_@) |
|
野球はともかく、サッカーは一人ずつ動かしてたらフォーメーションなんか組めませんよね。 コーナーキックとか、セットプレイも難しそう。 |
|
すぐ思いつくのは、ボールの近くのキャラだけ操作できるとか。 |
|
それだと、コーナーキックなんかでキャラが密集してたら、全員が動いちゃいませんか? ゴール前の選手数人が全く同じように動いたら、クローン人間みたいで気持ち悪いですヨ。(;´▽`)ノ |
|
5人くらいの選手が同じ方向に走り、同じタイミングでシュートォ!! でも、実際にボールを触ったのは一人だけ。∑( ̄口 ̄*) |
|
他の4人は、ひたすらエアサッカーでフェイントですか。 想像すると、かなり異様な光景ですねぇ。。。(´∇`* |
|
ダメか。。。 じゃあ、「フォーメーション何とか!」みたいなのを選ぶと、あらかじめ決まったパターンで選手が動くとか。 |
|
あ~、それもありそうですね。 でも、それだとカードバトルとかジャンケン方式に近くなっちゃって、リアルタイムに選手を動かしているとは言いがたいんじゃ、、、ヽ(  ̄д ̄;)ノ |
|
確かに、ディフェンスとオフェンスの型で勝ち負けが決まるカンジになっちゃうか。 かと言って、やっぱり選手を一人ずつカーソルで選んでから操作するのは無理がないか? |
|
一人ずつ操作しても間に合うくらい、ものすごく時間の流れが遅いとか? |
|
うーん、まぁ理屈は合ってるけど、、、 そのゲーム、面白いか? |
|
はは。。。 手段のために目的を忘れてしまう、典型的なパターンですね。¬(; ̄ー ̄)┌ |
|
一試合やるのに、一日がかりになっちゃうね。 動きも遅すぎて、フェイントが全く効果ナシ! |
|
サッカーのゲーム性が失われちゃ、意味ないですネ。。。 フェイントっていう意味だと、それぞれの選手の個人技を発揮するのも難しくないですか? |
|
う~む、考えれば考えるほど結論が出ない。。。 いっそのこと、一人しか操作できないっていうのはどうだろう?(´・ω・`)b |
|
プレイヤー自身が選手になりきって、自分だけ操作するカンジ? |
|
そそ。 他のキャラクターは、全自動で勝手に動く。 |
|
選手として、レギュラーで試合に出してもらえますかね? |
|
えっ? |
|
監督も自動だったら、監督の目に留まらないと試合に出してもらえませんよ。(・ω・) |
|
あそか、プレイヤーが監督の権限を手放したら、ゲーム自体が成立しないのかぁ~!ヽ(  ̄д ̄;)ノ そもそも、デバイスを読んだり書いたりする手段がない。 |
|
レギュラー取るためにゲーム内の監督に媚びるなんて、リアルすぎますよ。(・ω・)b のし上がっていく系の育成ゲームなら、話は別ですけど。 |
|
むぅ。。。 上司に媚を売るのは、現実世界だけでたくさんだ~(TεT;) |
|
せんぱい、上司に媚を売ってたんですか? とってもマイペースで仕事してるように見えますけど。。。(*´v`*) |
|
そういえば、、、 売ってなかった。。。ε=(´∇`;) |
|
はは、、、 見た目どおりの印象で、逆に安心しました。(*´ω`*) |
|
そ、そうなんだ? それはそれとして、結局どうやって操作してるのか分かんなかったぞ~ ( ̄△ ̄; |
|
同期でゲーム好きな人いるので、聞いてみましょうか? |
|
いや、そこまでしなくても、、、 事細かに説明されても、逆に困るし。(*^▽^;ゞ |
|
それもそうですネ。。。 じゃ、思い出したら何となく聞いてみますよ。 |
|
そうしてくれ。 ゲームの操作方法より、今はPKIの話のほうが大事だぞぅ。(ーー;) |
|
あらら、すっかり脱線しちゃいましたねぇ。 PKIが終わったということは、いよいよ本題のIPsecですか。 |
|
前置きが長くなっちゃったけど、最初のころの話は忘れちゃってない? |
|
だいじょぶです。d(>_< ) 隠すセキュリティの話とか、ちゃんと覚えてますヨ~(`・ω・´) |
以下、「手動鍵と自動鍵交換」につづく。。。
ネットワークセキュリティ関係者の部屋 > ネットワークセキュリティ実践劇場 > 公開鍵暗号