内容紹介
認証技術全般を網羅した、本格的な解説書
コンピュータシステムのセキュリティを確保するためには、暗号技術や認証技術など、いくつかの基礎的な要素となる技術を理解する必要がある。本書は、認証技術についての詳細な知識を、パスワードからバイオメトリクスや公開鍵方式まで網羅的にカバーし、分かりやすい形で提供している。
このような方におすすめ
システム管理者、プログラマなど
目次
主要目次
第1章 認証とは
第2章 リユーザブルパスワードシステムの進化
第3章 人の区別
第4章 デザインパターン
第5章 ローカル認証
第6章 PINとパスワードの選び方
第7章 バイオメトリック
第8章 アドレスによる認証
第9章 認証トークン
第10章 チャレンジレスポンスパスワード
第11章 間接認証
第12章 KerberosとWindows
第13章 公開鍵とオフライン認証
第14章 公開鍵証明書
第15章 私有鍵のセキュリティ
付録A 各章の注釈
付録B 参考文献
付録C Webサイト/ベンダ情報
付録D 用語集
詳細目次
献辞
著者について
はじめに
本書の内容
本書の対象読者
謝辞
監訳者序文
目次
凡例
■第1章 認証とは
この章の内容
1.1 むかしむかし
1.2 認証システムの構成要素
攻撃と防御のいたちごっこ
セキュリティ戦略
1.3 タイムシェアリングシステムでの認証
パスワードに対する攻撃
ハッシュパスワード
1.4 秘密を探り出す方法
推測攻撃
ソーシャルエンジニアリング
1.5 スニッフィング攻撃
ソフトウェアでのスニッフィング
トロイ型ログインプログラム
ヴァン・エック放射
1.6 認証ファクタ
1.7 アタックプレバレンスの評価
1.8 攻撃/防御の要約
攻撃
防御
未解決の攻撃
■第2章 リユーザブルパスワードシステムの進化
この章の内容
2.1 パスワード:ユーザの知識
2.2 認証とベースシークレット
文化背景的認証
ランダムシークレット
2.3 Unixのパスワードシステム
2.4 Unixのパスワードファイルに対する攻撃
M-209方式のハッシュ
DES方式のハッシュ
2.5 辞書攻撃
2.6 インターネットワーム
2.7 推測攻撃への耐性
エントロピーとビット空間
ベースシーレットの偏り
平均攻撃空間
2.8 攻撃/防御の要約
攻撃
防御
未解決の攻撃
■第3章 人の区別
この章の内容
3.1 人々の果たす役割
部内者と部外者
ユーザと管理者
通信事業者とクラッカー
3.2 ユーザの登録
自分で登録する
自ら出向いて登録する
3.3 初期シークレットを割り当てる
ランダムシークレット
文化背景的シークレット
初期パスワードの変更
3.4 エントロピーとパスワードの選択
テキストに見られる統計的な偏り
辞書攻撃
パスワード選択の偏りの見積もり
3.5 パスワード選択を制限する
指導のためのパスワードクラッキング
パスワードの自動生成
パスワードの事前チェック
パスワード長の制限
3.6 攻撃/防御の要約
攻撃
防御
■第4章 デザインパターン
この章の内容
4.1 認証システムにおけるパターン
4.2 物理的なセキュリティの役割
ソフトウェアの保護
ワークステーションの保護
ハードウェアの保護
4.3 管理上の要件
物理的な保護
認証の簡易さ
管理の効率性
4.4 ローカル認証
4.5 直接認証
4.6 間接認証
認証プロトコル
間接認証のプロトコル
4.7 オフライン認証
4.8 デザインパターンの適用
4.9 攻撃/防御の要約
攻撃
防御
未解決の攻撃
■第5章 ローカル認証
この章の内容
5.1 ラップトップとワークステーション
5.2 ワークステーションの暗号化
ファイルの暗号化
ボリュームの暗号化
5.3 データ保護のための暗号化
暗号に対するショートカット攻撃
暗号に対する試行錯誤攻撃
試行速度の理論的限界
5.4 鍵の取り扱い
鍵の暗記
鍵の扱いに関するポリシー
キーエスクローと暗号化についての政策
5.5 攻撃/防御の要約
攻撃
防御
■第6章 PINとパスワードの選び方
この章の内容
6.1 パスワードの複雑さ
パスワードとその利便性
強制機能とマウスパッド
6.2 用途に合ったシークレットの選択
スニッフィング可能なパスワード
PIN
内部パスワード
外部パスワード
6.3 内部パスワードの改善
パスワードの表示/非表示をユーザが選択できるようにする
ユーザ名の誤りを知らせる
パスワードの再入力回数を増やす
不正なパスワード入力を記録・報告する
パスワードの定期的な変更を要求しない
6.4 パスワードの選択
内部パスワード
外部パスワードおよび管理者のパスワード
6.5 パスワードの共有
マルチユースパスワード
パスワード委譲
6.6 パスワードのメモの保管
身の回りに置く
鍵付きの場所に保管する
コンピュータに保存する
6.7 連続パスワードとパスワードのグループ
連続パスワード
テーマとなる単語による前方安全性
歌や詩を利用したパスワード
6.8 攻撃/防御の要約
攻撃
防御
未解決の攻撃
■第7章 バイオメトリック
この章の内容
7.1 バイオメトリック:ユーザの個人的特徴
期待と現実
バイオメトリックの用途
7.2 バイオメトリックの手法
身体的特徴の測定
動作の癖の測定
7.3 バイオメトリックの仕組み
7.4 バイオメトリック情報の採取
バイオメトリック入力時のフィードバック
身体的特徴の偽造
7.5 パターンの作成と照合
例:単純な掌形バイオメトリック
ユーザの登録
7.6 バイオメトリックの精度
利便性とセキュリティのバランス
平均攻撃空間
7.7 バイオメトリックの暗号化
秘密の保護
バイオメトリックデータの信憑性
バイオメトリックの悪用の問題
7.8 攻撃/防御の要約
攻撃
防御
■第8章 アドレスによる認証
この章の内容
8.1 「誰」と「どこ」
8.2 アドレスとしての電話番号
ダイヤルバックによる識別
ダイヤルアップの識別:発信者番号通知サービス(Caller ID)
8.3 ネットワークアドレス
ARPANETのアドレス指定
インターネットプロトコルアドレス(IPアドレス)
8.4 IPアドレスに対する攻撃
IPアドレスの盗用
DoS攻撃
8.5 効果的な送信元認証
8.6 Unixのロッカーネットワーク認証
r系コマンド
RPC、NFS、およびNIS
8.7 地理的な場所の認証
8.8 SSH
8.9 ディレクトリを用いた認証
8.10 攻撃/防御の要約
攻撃
防御
■第9章 認証トークン
この章の内容
9.1 トークン:ユーザの所持品
パッシブトークン
アクティブトークン
9.2 ネットワークパスワードスニッフィング
9.3 ワンタイムパスワード
カウンタベースのワンタイムパスワード
クロックベースのワンタイムパスワード
9.4 ワンタイムパスワードに対する攻撃
中間者による攻撃
IPハイジャック
9.5 PINの導入
外部パスワードに付加されるPIN
内部パスワードとしてのPIN
ベースシークレットの一部としてのPIN
9.6 ユーザの登録
9.7 攻撃/防御の要約
攻撃
防御
■第10章 チャレンジレスポンスパスワード
この章の内容
10.1 チャレンジレスポンス
チャレンジレスポンスとX9.9
S/Key認証
10.2 チャレンジレスポンスの問題点
ユーザの操作
ANSI X9.9に対する既知平文攻撃
10.3 パスワードトークンの導入
ソフトウェアトークン
複数のサーバの取り扱い
ベンダ独自の実装
10.4 Windowsでの認証の発展
LANMANハッシュ
LANMANハッシュへの攻撃
Windowsでの平文パスワード
10.5 Windowsのチャレンジレスポンス
Windowsのチャレンジレスポンスへの攻撃
10.6 Windows NTLM認証
NTパスワードデータベースへの攻撃
NTLMチャレンジレスポンスへの攻撃
10.7 攻撃/防御の要約
攻撃
防御
未解決の攻撃
■第11章 間接認証
この章の内容
11.1 間接認証
ネットワーク境界の制御
ワンタイムパスワード製品
LANリソースの制御
11.2 RADIUSプロトコル
RADIUSログオン
RADIUSメッセージの保護
RADIUSチャレンジレスポンス
11.3 暗号化接続とWindwos NT
暗号化接続
完全性保護
政策と暗号化と技術的選択
11.4 Windwos NTのセキュアチャネル
セキュアチャネルでの鍵の取り扱い
セキュアチャネルへの攻撃
11.5 コンピュータの認証シークレット
11.6 攻撃/防御の要約
攻撃
防御
■第12章 KerberosとWindows
この章の内容
12.1 KDC
チケット
Needham-Schroederプロトコル
12.2 Kerberos
認証サーバ
サーバに対する認証
チケット交付サービス
12.3 ユーザとワークステーションの認証
ワークステーションの認証
事前認証
12.4 チケットの委譲
代理可能TGT
転送可能TGT
レルムと委託チケット
12.5 Kerberosネットワークに対する攻撃
侵入への耐性
クロックの同期
12.6 Windows 2000のKerberos
マスタ鍵とワークステーション認証
Kerberosをサポートするサービスやプロトコル
12.7 攻撃/防御の要約
攻撃
防御
■第13章 公開鍵とオフライン認証
この章の内容
13.1 公開鍵暗号
13.2 RSA公開鍵アルゴリズム
13.3 RSAへの攻撃
RSA鍵への攻撃
デジタル署名への攻撃
13.4 DSA
13.5 チャレンジレスポンス再考
LOCKOut Fortezza認証プロトコル
FIPS 196認証
13.6 SSL
SSLによる鍵生成
一般的なSSLによる認証
SSLクライアント認証
13.7 公開鍵とバイオメトリック
13.8 攻撃/防御の要約
攻撃
防御
■第14章 公開鍵証明書
この章の内容
14.1 名前と公開鍵の対応付け
認証機関
正しい証明書の使用
14.2 証明書の作成
証明書の規格
証明書とアクセス制御
14.3 認証機関
サイト所有者が兼務する認証機関
商用の認証機関
14.4 PKI
集中化された階層構造
認証機関リスト
相互認証
14.5 個人の証明書
レピュテーションによる証明
信頼の輪による証明
14.6 証明書の破棄
CRL
オンラインでの破棄チェック
証明書の時宜を得た発行
14.7 Kerberosと証明書
14.8 攻撃/防御の要約
攻撃
防御
未解決の攻撃
■第15章 私有鍵のセキュリティ
この章の内容
15.1 私有鍵の生成
15.2 私有鍵の保管の問題
15.3 スマートカードと私有鍵
カード外での鍵生成
カード上での鍵生成
15.4 スマートカードのアクセス制御
PIN
バイオメトリック
15.5 サーバ上の私有鍵
Novell NetWare:鍵のダウンロード
SafeWord仮想スマートカード:データのアップロード
15.6 再びパスワードについて
15.7 攻撃/防御の要約
攻撃
防御
■付録A 各章の注釈
■付録B 参考資料
■付録C Webサイト/ベンダ情報
■付録D 用語集
索引
続きを見る