9月3日(火)1、2コマ目

今日、やったこと

  • [確認テスト]Webサーバー構築にまつわる内容
  • SSL/TLS

今日のホワイトボード

httpとhttps(HTTPとHTTPS)

Webアクセスに使うプロトコルのhttpは非暗号化通信。

httpsは暗号化通信。最近ではほとんどhttps。

図 httpとhttps

HTTPS

HTTPSはHTTP over SSL/TLSで、HTTPをSSL/TLSを使って暗号化したもの。HTTPSというプロトコルがあるわけでない。
図 HTTPS
暗号化を担っているのがSSL。よって、暗号化されるのはTCPヘッダよりあとのHTTP部のみ。

[おさらい]共通鍵暗号方式

同じ鍵を使って暗号化、復号する。
送信側、受信側で鍵を安全に受け渡す方法が必要。
図 [おさらい]共通鍵暗号方式

[おさらい]公開鍵暗号方式

鍵は秘密鍵と公開鍵のペア。
秘密鍵で暗号化 -> 公開鍵のみ復号可。
公開鍵で暗号化 -> 非罪鍵のみ復号可。
図 [おさらい]公開鍵暗号方式

ざっくりとSSLのながれを説明すると

本文の暗号化通信は共通鍵暗号方式を使う。(下図の④)
この共通鍵の元を公開鍵暗号方式で暗号化して受け渡す。(下図の②)
図 ざっくりとSSLのながれ

SSL/TLSハンドシェイク

お互いの暗号方式の確認、決定や共通鍵の元の受け渡しなどをするがSSL/TLSハンドシェイク。
図 SSL/TLSハンドシェイク
SSL/TLSハンドシェイクの前にはTCPのコネクション確立を行う。
SSL/TLSハンドシェイクのあと、HTTPのやり取りが行われる。このやり取りのパケットはTCPヘッダよりあと(HTTP部)は暗号化されている。

サーバー証明書の役割

「確かにこのサーバーは本物のサーバーです」と証明するのがサーバー証明書。
だれが証明するかと言えば、認証局(CA)。
認証局はサーバー(の持ち主)から依頼を受けてサーバーを証明する。
証明には認証局の審査がある。
図 サーバー証明書
図のようにexample.comを語る偽物がいても、利用者にはわからない。認証局がドメインexample.comのサーバーはこれですと証明するのがサーバー証明書。
よって、サーバー証明書は正当なドメインの持ち主であることを証明する。

認証局

認証局は民間企業で、1つだけではない。
中間認証局と呼ばれる認証局はルート認証局によって証明された認証局。よって、中間認証局の認証局証明書はルート認証局が署名する。
ルート認証局は最上位の認証局。ルート認証局の認証局証明書は自分自身で署名。
安全性が保障されない危険があるが、ルート認証局は絶大な信頼性を売りにしているため、おそらく間違いはないだろうで運用されている。
図 認証局の階層

WebサーバーをSSL化する手順(サーバー証明書を発行してもらうには)

  1. 秘密鍵と公開鍵のペアを作成し、証明依頼のcsrファイルを生成。
  2. 公開鍵とcsrファイルを認証局に提出(お金も払う)。
  3. 審査がパスすればサーバー証明書が発行される。
なお、サーバー証明書には有効期限がある。よって、毎年お金を払う。
図 サーバー証明書取得までのながれ

練習問題

問1

各選択肢の解説。
図 [SSL/TLS練習問題]問1

問3

サーバー証明書はCAによる署名がある。
この署名はCAの秘密鍵で暗号化 -> CAの公開鍵で復号できればCAが署名したことがわかる。
署名の中身はサーバー証明書のハッシュ値。->比較することで改ざんの検知ができる。
図 [SSL/TLS練習問題]問3

次回は

SSL/TLSのテストをします。今日、やった練習問題のような問題を出題予定。







 

このブログの人気の投稿

7月16日(火)4コマ目

イメージ
今日、やったこと [確認テスト]TCPのシーケンス番号、確認応答番号、ウィンドウサイズ TCPとUDPの違い 第4層のプロトコルの特徴 名前解決 DNS 今日のホワイトボード TCPとUDPの違い TCP、UDPはともに第3層のプロトコル。2つは両極端な特徴を持つ。 図 TCPとUDPの違い 第4層のプロトコルがTCP、UDPを選択する。  第4層のプロトコル 第4層には利用目的に特化したプロトコルがたくさんある。 ホームページにはホームページの特徴にあったデータのやり取り方法がある。メールにはメールにあったデータのやり取り方法がある。そのため、第4層には利用目的に特化したプロトコルがある。 図 第4層のプロトコル 名前解決 GoogleのWebサイトにアクセスするさい、普通はブラウザのアドレス入力欄に、  https://www.google.co.jp と入力してアクセスする。(現実ではブラウザのデフォルトページがGoogleのサイトになっており、検索して各Webサイトにアクセスするけど) インターネットではTCP/IPを使って通信をしているため、Googleのサイト=GoogleのWebサーバーにはIPアドレスが付与されており、このIPアドレスでアクセスする必要がある。 しかしながら、Googleのサイトにアクセスする際、IPアドレスを意識することはなく、https://www.google.co.jpでアクセスできる。 これはwww.google.co.jpからIPアドレスに変換する仕組みのお陰。 www.google.co.jpのような文字列(コンピュータ名)からIPアドレスに変換することを 名前解決 と呼び 、インターネットではDNSが使われる。 図 名前解決 DNS インターネットでの名前解決はDNSが利用されている。 Googleのサーバーの名前www.google.co.jpはDNSの命名規則に従っている。 DNSはドメインツリーと呼ばれるルートドメインを頂点とした木構造のモデル がある。 各ドメインにはDNSサーバーがあり、そのドメインの情報を管理している 。 図 DNSの階層と名前の関係 次回は テストはしません。 DNSの続きです。
続きを読む

6月10日(月)1コマ目

イメージ
今日、やったこと [確認テスト]ルーティングテーブル作成4 ARP 今日のホワイトボード イーサネットとIPは役割が違う  IPは宛先までの経路を決めるまで、パケット送信は行わない。 イーサネットはパケット送受信を行う。経路決定には関与しない。 図 イーサネットとIPの役割分担 イーサネットヘッダとIPヘッダの宛先・送信元情報 イーサネットヘッダ、IPヘッダともに宛先・送信元情報がある。 〇IPヘッダ 宛先は最終的にたどり着きたい宛先 送信元はおおもとのデータを送り出したPC等 〇イーサネットヘッダ 宛先はIPがルーティングして決定した宛先 送信元はこのパケットを送り出したPC等 図 イーサネットヘッダ、IPヘッダの宛先・送信元情報 IPとイーサネットで異なるアドレスを使う IPがルーティングして次に送る宛先を決定し、イーサネットがそこに送信する 。 しかし、IPのルーティング結果はIPアドレス。イーサネットはMACアドレスを使う。 IPアドレスからMACアドレスへの変換を行うプロトコルがARP 。 図 IPアドレスからMACアドレスへ変換 ARP(Address Resolution Protocol) IPアドレスからMACアドレスへの変換をする際に利用するプロトコル(手順、ルール)。 以下の流れでIPアドレスからMACアドレスへ変換している。 ①ARPテーブル確認 ARPテーブルは過去に調べたIPアドレスとMACアドレスの一覧表。 図 [ARP]ARPテーブル確認 ARPテーブルに調べたいIPアドレスがあれば、対応するMACアドレスを使う。これで終了。 ARPテーブルに調べたいIPアドレスが無ければ、②ARPリクエスト送信へ。 ②ARPリクエスト送信 ARPリクエストは検索対象のIPアドレスを使っているPCからの返信を期待して送信する。 ARPリクエストパケットのイーサネットヘッダ内の宛先MACアドレスはどのMACアドレスを書き込むかわからない(MACアドレスが分からないからARPリクエストを送信している)。 よって、 全PCが対象となるブロードキャストアドレス(ff:ff:ff:ff:ff:ff)を宛先MACアドレスに書き込んで送信する 。 図 [ARP]ARPリクエスト送信 ③ARPレスポンス受信 ARPリクエストを受信した各PCはARPヘッダを見...
続きを読む

6月5日(水)1コマ目

イメージ
今日、やったこと [確認テスト]ルーティングテーブル作成3 [練習問題]ルーティングテーブル作成 今日のホワイトボード [練習問題]ルーティングテーブル作成 一見、ネットワークがたくさんあってめんどくさそうです。 図 ルーティングテーブル作成 ネットワーク図 ルーターAのルーティングテーブル 今までとおなじやり方だと以下のようになります。 図 ルーターAのルーティングテーブル 172.17.10.0/24、172.17.100.0/24、172.17.110.0/24の3つのネットワークに行くにはすべて同じルート(172.16.1.1->172.16.1.254)を通ります。 そこで、マスクを255.255.255.0から255.255.0.0に変更すれば、この3つのネットワークは172.17.0.0にまとめることができます。 さらに、宛先172.17.0.0、マスク255.255.0.0は他のネットワーク(172.16.1.0/24、172.16.10.0/24、172.16.100.0/24、172.16.110.0/24)とはマッチしません。 よって、ルーティングテーブルは7行から5行にすることができます。 宛先 マスク ゲートウェイ インタフェース 172.16.1.0 255.255.255.0 リンク上 172.16.1.1 172.16.10.0 255.255.255.0 リンク上 172.16.10.1 172.16.100.0 255.255.255.0 172.16.10.128 172....
続きを読む