TLS
特徴
- TLS(Transport Layer Security)通信により、HTTPS(HTTP over TLS)、つまり、HTTP通信のデータを暗号化する。
- HTTPの他、FTPやIMAPなどのTCPを利用するアプリケーションで利用できる。
- サーバのディジタル証明書(サーバ証明書)を用いて、正当なサーバであることを検証するサーバ認証が可能である。
- オプションで利用者個人のディジタル証明書(クライアント証明書)を用いることで、利用者認証が可能である。
このクライアント証明書は、ICカードやUSBトークンに格納でき、格納場所を特定のPCに限定する必要はない。 - 通信相手の認証を行った上で、通信を暗号化するための共通鍵を作成する。
- ディジタル証明書のフォーマットとしては、ITU-T勧告 X.509で標準化されているものがある。
過去問
平成30年度秋期ネットワークスペシャリスト試験・情報処理安全確保支援士試験
【出典:ネットワークスペシャリスト試験 平成30年度 秋期 午前2 問20】
【出典:情報処理安全確保支援士試験 平成30年度 秋期 午前2 問15】
TLSに関する記述のうち、適切なものはどれか。
- TLSで使用するWebサーバのディジタル証明書にはIPアドレスの組込みが必須なので、WebサーバのIPアドレスを変更する場合は、ディジタル証明書を再度取得する必要がある。
→ディジタル証明書の識別には、該当するサーバ(コモンネーム)としてIPアドレスだけではなくFQDNも使用できます。 - TLSで使用する共通鍵の長さは、128ビット未満で任意に指定する。
→共通鍵の長さを含む暗号化スイートは、クライアントとサーバ間で任意に決められます。共通鍵の長さは、128ビット又は256ビットの使用が推奨されています。 - TLSで使用する個人認証用のディジタル証明書は、ICカードにも格納することができ、利用するPCを特定のPCに限定する必要はない。
→正解 - TLSはWebサーバと特定の利用者が通信するためのプロトコルであり、Webサーバへの事前の利用者登録が不可欠である。
→Webサーバと任意の利用者が安全に通信するためのもので、Webサーバへの事前の利用者登録は不要です。
平成30年度秋期ネットワークスペシャリスト試験・情報処理安全確保支援士試験 共通
【出典:ネットワークスペシャリスト試験・情報処理安全確保支援士試験 共通 平成30年度 秋期 午前1 問12】
インターネットに接続された利用者のPCから、DMZ上の公開Webサイトにアクセスし、利用者の個人情報を入力すると、その個人情報が内部ネットワークのデータベース(DB)サーバに蓄積されるシステムがある。このシステムにおいて、利用者個人のディジタル証明書を用いたTLS通信を行うことによって期待できるセキュリティ上の効果はどれか。
- PCとDBサーバ間の通信データを暗号化するとともに、正当なDBサーバであるかを検証することができるようになる。
- PCとDBサーバ間の通信データを暗号化するとともに、利用者を認証することができるようになる。
- PCとWebサーバ間の通信データを暗号化するとともに、正当なDBサーバであるかを検証することができるようになる。
- PCとWebサーバ間の通信データを暗号化するとともに、利用者を認証することができるようになる。
設問での状況を整理すると、PCと公開Webサイト(Webサーバ)との通信と、WebサーバとDBサーバとの通信に分けられます。そして、TLS(Transport Layer Security)通信を行うのはPCとWebサーバとの通信となります。
TLS通信でのWebアクセスで行えることは、HTTPS(HTTP over TLS)、つまり、HTTP通信のデータを暗号化することです。
また、TLS通信のオプションとして、利用者個人のディジタル証明書を用いることで、利用者を認証することができます。Webサーバで、受信したディジタル証明書に付与された認証局の署名を検証することで、ディジタル証明書の正当性を確認し、利用者の真正性を検証することができます。
設問にはありませんが、TLS通信では、Webサーバのディジタル証明書を用いて正当なサーバであることを検証するサーバ認証が必須です。