メニュー

さまざまな認証方式2:認証システムの基礎知識5

認証システムの基礎知識

更新日:2020年2月4日(初回投稿)
著者:アルテア・セキュリティ・コンサルティング 代表 二木 真明

前回は、一般的なパスワード以外の認証方式として、ワンタイムパスワードや暗号による認証などを紹介しました。今回も、引き続きさまざまな認証の方式について解説していきましょう。

今すぐ、技術資料をダウンロードする!(ログイン)

1. 暗号認証と鍵の保護

前回説明したように、暗号認証では、固有の暗号鍵を所有していることを証明することで、正当性を確認します。このため、固有鍵の保護が重要になります。固有鍵をより強固に保護するには、スマートカードや専用のUSBキーといった、鍵格納用の専用ハードウェアを使用します。これらは、ハードウェアトークンもしくはハードウェアコンテナと呼ばれます(図1)。一方、パスワードを利用した暗号化による鍵保護は、ソフトウェアトークンもしくはソフトウェアコンテナとなります。

図1:暗号鍵格納用ハードウェアの例

図1:暗号鍵格納用ハードウェアの例

こうした専用ハードウェアでは、利用者の固有鍵はチップ内に格納され、外部に取り出すことはできません。ハードウェアにはCPUが搭載され、少量のデータの暗号化や復号などが可能になっています。認証時には、このハードウェアにチャレンジの暗号化を依頼し、結果だけを受け取ってサーバ側に送り返します。これで直接、鍵を使った計算を行うことなく認証ができます(図2)。こうしたハードウェアは、前回述べた耐タンパ性を備えるだけでなく、パスワードによってロックすることもできるため、紛失や盗難に対しても保護されます。

図2:スマートカードの仕組み

図2:スマートカードの仕組み

一方、認証サーバ側では、ワンタイムパスワードの場合と同様に、利用者の固有鍵を大量に保存することとなり、より厳重な安全管理が必要になります。この問題を回避するための方法として「公開鍵暗号」の利用があります。

ここまでの話は、利用者側とサーバ側で同じ暗号鍵(共通鍵)を共有することが前提でした。そのような暗号方式を、共通鍵もしくは共有鍵暗号と呼びます。一方、公開鍵暗号では、互いに関連付けられた2種類の鍵(鍵ペア)を用意し、暗号化と復号に、異なる鍵を使用します(図3)。この2つの鍵は対等で、役割を入れ替えることもできますが、常に1つの鍵は一方の役割しか担えません。また、一方の鍵から他方を計算することの困難性は、数学的に保証されます。

図3:共通鍵暗号と公開鍵暗号

図3:共通鍵暗号と公開鍵暗号

暗号化用に使う鍵を公開鍵、復号に使う鍵を秘密鍵と呼びます。一般に公開鍵は必要な通信相手に公開して、暗号化に利用してもらい、受け取った暗号データを秘密鍵で復号するという使い方をします。公開鍵で暗号化したデータは秘密鍵でしか復号できず、公開鍵を複数の相手で共有しても、相互に秘密は保たれます(共通鍵の場合、相互に秘密を保とうとすれば、通信相手の数だけ鍵が必要になり、鍵の管理が煩雑になります)。この2つの鍵の役割を入れ替え、秘密鍵でデータを暗号化すれば、全ての公開鍵保有者はそれを復号できます。また、復号できたことで、送り手がその公開鍵に対応する秘密鍵を保有していることが確認でき、認証が成立します(図4)。

図4:公開鍵暗号による認証

図4:公開鍵暗号による認証

秘密鍵は利用者のみが保有し、サーバ側には公開鍵を置きます。利用者はチャレンジを秘密鍵で暗号化し、受け取ったサーバは公開鍵で復号します。チャレンジと復号結果が一致すれば、同様に認証は成立します。一方、サーバ側には公開鍵しか存在しないため、万一それが漏洩(ろうえい)しても、利用者の秘密鍵の安全性は確保されます。

一般にスマートカードなどでは、この公開鍵暗号の鍵ペアを無作為に生成し、公開鍵のみを取り出せるような機能を持っています。これを利用して、生成した鍵ペアの公開鍵をサーバ側に登録し、秘密鍵はスマートカード内で管理することで、鍵の安全性を高めることができます。

このように便利な公開鍵暗号ですが、1つ問題があります。それは、公開鍵の正当性をどう確認するか、という点です。もし何者かが、利用者の公開鍵の代わりに偽りの公開鍵を登録すると、その鍵に対応する秘密鍵を持つ者が、利用者になりすまして認証を通過できてしまいます。これを防ぐ手段が、電子証明書です。電子証明書は公開鍵証明書とも呼ばれ、信頼できる第三者によって、公開鍵が正当な利用者のものであることを確認した上で発行されます。電子証明書には、公開鍵に加えて利用者の必要な情報を格納でき、証明者による電子署名が付加され、改ざんできないようになっています。電子署名は、証明者の公開鍵で検証できるため、認証サーバへの登録時や定期的な検証で、置き換えの有無などを確認することができます。電子証明書は、発行の手間やコストがかかるため、常に利用できるとは限りません。電子証明書を利用できない場合でも、なんらかの手段で鍵の正当性や改ざんの有無を検証できるようにしておく必要があります。このように、暗号認証は鍵に大きく依存するため、鍵の管理が極めて重要になるのです。

2. 生体(バイオメトリクス)認証

保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

3. 多要素認証

保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

  • セミナー2月
  • カタログバナー
  • 販促_無料出展

ピックアップ記事

tags

  • 特集バナー0217_01
  • 特集バナー0217_02
  • 特集バナー0217_03
  • 特集バナー0217_04
  • 特集バナー0217_05
  • 特集バナー0210_01
  • 特集バナー0210_02
  • 特集バナー0210_03
  • 特集バナー0210_04
  • 基礎知識一覧