PKI

Windows 10: パスワード、スマート カード、そして Windows Hello + Microsoft Passport。それぞれの違いを理解しよう (1)

こんにちは、村木ゆりかです。   Windows 10 の新たな認証機能である Windows Hello と Microsoft Passport。「新たな認証方式」「パスワードとはお別れ!」と耳にした方も多いかと思います。企業 IT としては、AzureAD + Windows 10 で利用可能で、Windows Server 2016 Technical Preview でのサポートも始まっています。 なんとなく、これまでのパスワードの問題を解消する新しい認証方式だということは分かったけど、まだモヤモヤしている方もいらっしゃいませんか?これまで Active Directory で利用されてきたIDとパスワードを使ったケルベロス認証との違いは? スマートカードの認証とは違うの? っていうか、そもそもなんで新しい認証方式必要なの?   IT 管理者の皆さんは、これから展開を検討する、あるいは既に展開を始めているけれど運用にあたってトラブル シュートなども必要になってくるため、認証のしくみや違いがスッキリしていないと不安だったり、検討に踏み込んだりしにくいかと思います。 今回は、企業 IT における Windows Hello + Microsoft Passport がどのようなものになるのか、どのようにセキュリティ脅威に立ち向かえるのか、これまでの Active Directory での認証方式をおさらいしながら違いを紹介します。まず、今回は、Windows Hello と Microsoft Passport の関係性を整理し、概要をスッキリさせましょう。   Windows Hello で生体認証 Windows Hello は生体認証のことです。指紋、顔、虹彩によって認証を行うことができます。Windows …

Windows 10: パスワード、スマート カード、そして Windows Hello + Microsoft Passport。それぞれの違いを理解しよう (1) Read More »

より信頼できる証明書利用環境へ向けて~ Internet Explorer 11 SmartScreen 証明書評価

こんにちは、村木ゆりかです。   これまで何度か取り上げてきました信頼できる証明書や公開鍵基盤 (PKI) について、今回は、さらなる信頼できる環境を実現するために Internet Explorer 11 (以下、IE 11) から実装している SmartScreen の証明書評価についてご紹介します。   ■ 「信頼できる証明機関」だけではもう古い 多くのウェブサイトは、自身の身分を証明し、安全な暗号化通信を行うために、証明書を利用しています。これまでは、証明書を発行した「証明機関が信頼できる」かどうかが、証明書の信頼性を評価する大きな指標でした。 信頼できる証明機関は、厳しい監査の元に適正な運用を行っており、発行される証明書は非常に信頼の高いものです。 しかしながら、最近は、証明機関やウェブサイトがサイバー攻撃を受け侵害されたり、弱いアルゴリズムを利用している証明書が狙われたりするなど、証明書自体を取り巻く脅威が増加しています。このため、信頼している証明機関が発行した証明書であっても、その証明書自体が現在不正に利用されていないか、個別に確認を行う必要性が増してきています。このため、「証明機関が信頼できるか」という確認に加え、「証明書も問題ないか」を確認することが、非常に重要な指標となっています。   ■ 証明書の信頼は取り消される場合がある 証明機関は、証明書を発行する際、対象のウェブサイトが詐欺に利用するサイトではないか、などの審査を行って発行しています。しかしながら、発行した後、ウェブサイトの証明書 (鍵) が窃盗にあったり、不正な行為を働いていたりする場合など、証明書の利用を取りやめなくてはいけない場合があります。ちょうど、現実世界でも、運転免許証を発行された後、重大な違反があると運転免許証が利用停止になってしまうようなものです。 通常、証明機関は、このように発行した証明書の信頼性が危ぶまれている場合、証明書の信頼を取りやめる措置 (失効) を取ります。マイクロソフトでも、ルート証明書プログラムや、信頼できない証明書のリストの配布などの取り組みを行っています。信頼できない、失効された証明書が利用された場合は警告が表示されたり、利用ができなくなったりします。 しかしながら、時には、証明機関やマイクロソフトが行っている失効のしくみを利用できないユーザー環境や、昨今、急速に拡大する不正に利用された証明書やによる被害も発生しています。このような脅威や環境に迅速に対応するために、これまでの証明機関やマイクロソフトの取り組みに加え、追加で、証明書の最新の信頼性を評価するしくみの必要性が増しています。 ■ SmartScreen 証明書評価による多層的な保護 このような急速に広がる脅威に対して、より迅速に対応し、信頼できる証明書環境を実現するために、Internet Explorer 11 SmartScreen では、閲覧しているウェブサイトで利用されている SSL 証明書についても信頼性の評価を行うしくみを取り入れました。 SmartScreen とは、Internet Explorer の機能で、既定で有効で、個人情報を盗もうとするフィッシング詐欺サイトや、悪意のあるソフトウェアのダウンロードを防止するセキュリティ機能です。閲覧しているウェブサイトや、ダウンロードしているプログラムの危険性を、マイクロソフトが収集しているデータを基に評価します。もし、危険と判断される場合は、警告を表示します。 SmartScreenの証明書評価は、これまでの、証明機関やマイクロソフトが実施している失効のしくみに加え、ウェブサイトを閲覧しているときに利用しているブラウザー上で、さらに追加で、証明書の信頼性を確認するしくみを入れることで、より多層防御となり、不正な証明書による被害を未然に防ぐことを目的としています。 広範囲に広がりを見せている中間者攻撃 (Man-In-The middle 攻撃) からの保護を主な目的としています。今後、少人数を対象とした攻撃や、そのほかの攻撃からの保護へとも拡張していくことを検討しています。 図: 証明書評価のしくみ   ■ シナリオ例 SmartScreen …

より信頼できる証明書利用環境へ向けて~ Internet Explorer 11 SmartScreen 証明書評価 Read More »

証明書更新機能の進化と Windows XP サポート終了後のリスク

こんにちは、村木ゆりかです。   マイクロソフトでは、Windows において信頼するルート証明書を管理する仕組みであるルート証明書プログラムを筆頭に、ユーザーのみなさんが、安全に公開鍵基盤 (PKI) 環境を利用できる基盤作りを行っています。 PKI を取り巻く環境は、技術変化や脅威の拡大に伴い、急速に変化しています。数年前までは、「証明機関を信頼する」という作業で安全な PKI 環境の利用ができましたが、最近は、証明機関がサイバー攻撃を受け侵害されるなど脅威が増し、信頼していた証明機関に問題が発生した場合の対応を含めた利用を行う必要があります。 Windows においては、暗号化アルゴリズムの転換などを契機とし、特に Windows Vista 以降においては CAPI2 や CNG (Cryptography Next Generation) への対応など大きくデザイン更新をし、その後もさまざまな機能追加を提供しています。 証明書を更新する機能についても、更新の方法や多様なシナリオへの対応を行うべく、仕組みの更新を行っています。OS 毎の、証明書自動更新機能一覧は以下の通りです。   Windows で提供される信頼・非信頼リストの更新機能      Windows XP サポート終了におけるリスク Windows XP のサポート終了もあとわずかに迫りました。上述の表の通り、Windows XP では、証明書の自動更新機能は限定的な機能です。また、サポート終了に伴い、セキュリティ アドバイザリや、手動で更新するためのパッケージの提供が終了します。  証明書は、インターネットで安全なやりとりを行うためのSSL/TLS で多く利用されており、クラウド サービスを始めとしたオンライン サービスで、安全に利用するためには欠かせません。サポート終了後は、これらのサービスへのセキュリティ影響が発生します。具体的な例は以下の通りです。   ・信頼できない証明書が更新できず、悪意のあるサイトと通信を行ってしまう Windows XP 向けに提供されていた信頼できない証明書を更新するためのパッケージは、サポート終了に伴い提供が終了します。もし、正規に発行された証明書だったが、その後、セキュリティ攻撃などにより信頼が失われたなどの理由から、利用を停止したい証明書や証明機関が発生しても、対応させるための更新パッケージが提供されません。ユーザーは自ら、信頼を失った証明書の情報を把握し、MMC 証明書スナップインなどから追加する必要がありますが、これは容易な作業ではありません。 もし、信頼できない証明書をそのまま利用してしまった場合、悪意のある HTTPS ウェブサイトへ接続してしまったり、悪意のあるものと、SSL/TLS 通信をしてしまったりする可能性があります。   ・ドメイン環境等で信頼する証明機関の更新が行えず接続障害が発生する HTTPS …

証明書更新機能の進化と Windows XP サポート終了後のリスク Read More »

より安全性の高い暗号方式を利用しましょう

こんにちは、村木ゆりかです。 2013 年 11 月度の定例セキュリティ情報公開日に、マイクロソフト セキュリティ アドバイザリ(2868725) 「RC4 を無効化するための更新プログラム」を公開しました。これは、マイクロソフトが安全な暗号化や証明書の利用を促進するための継続的な取り組み (セキュリティ アドバイザリ2854544) の一環です。    暗号は「使ってさえいれば安全」ではない 安全なデータのやり取りのために、とりあえずSSL/TLS などの暗号化は設定しているが、詳細な設定は適当なまま。そんな方も多いのではないでしょうか?  誰でも内容を読めてしまう状態(平文) でデータをやり取りすることが危険だということは明白です。では、例えば、暗号化した文章「NHB LV PV」はどうでしょう?「アルファベット順に 3 つずらす」という仕組み (暗号方式) を利用しており、復号すると「KEY IS MS」となります。この暗号文は、確かにそのままでは文章として読めませんが、単純な暗号方式であるため、勘のいい方はすぐ元の文章がお判りになったか、時間をかけていくつかの知られている暗号化方式を試すことで解読できます。これでは暗号化している意味がありません。  暗号化方式の多くは複雑性や解読までにかかる時間などを基に設計されています。このため、以前は誰も破れなかった暗号方式も、コンピューターの処理速度の向上や、新たな解析手法の登場などにより、解読できてしまい安全性が低下 (危殆化) することがあります。安全性を保つためには、暗号化を利用するだけではなく、より安全な方式を利用することがとても重要です。   RC4 とは? ストリーム型と呼ばれる暗号化方式の 1 つで、高速でコストが安いことから多くのアプリケーションに採用されてきました。現在では、技術の進化から解読可能であることが判明するなどアルゴリズムの安全性が低くなっています。しかしながら、依然として広く利用されており、RC4 を利用する SSL/TLS が攻撃に利用されるケースが広まっています。  Internet Explorer 11では、RC4 以外のより安全性の高い暗号化方式を優先的に利用し、TLS1.2 が既定で有効であるなど、安全な方式を優先的に利用するよう設計されています。BEAST 攻撃などの現在広く知られている攻撃に対して、TLS1.2 は影響を受けません。 ウェブ サイトと、ブラウザーの間でどのような方式を利用するかは、お互いが利用できる方式を優先付けと共に通知し利用可能なものを選択します。マイクロソフトが500 万のウェブ サイトを対象に調査したところ、RC4 以外のより安全な暗号化方式が利用できるにも関わらず、ブラウザーの設定などにより利用されていないケースが約40% もあることが分かりました。Internet Explorer 11 が安全な方式を優先的に利用する設定を既定で行うことで、自動的にユーザーにより安全な環境を提供する事ができます(参考:MSRC 公式ブログ、Internet …

より安全性の高い暗号方式を利用しましょう Read More »

セキュリティ アドバイザリ 2862973 ~ ルート証明書プログラムにおける MD5ハッシュの利用制限

こんにちは。村木ゆりかです。 これまでも、マイクロソフトでは証明書を利用する環境を、より安全な環境にするために、様々なアップデートをリリースしてきました。本日も、セキュリティ アドバイザリ 2862973 「マイクロソフト ルート証明書プログラムでの MD5 ハッシュ アルゴリズム廃止用の更新プログラム」を公開しました。 本セキュリティ アドバイザリ 2862973 は2014 年 2 月に自動更新による配布が予定されています。 [更新] 予定通り2月 12 日にWindows Update で提供を開始しました。自動更新を有効にしている端末では、自動で更新プログラムが適用されます。 ぜひ、多くの IT 管理者のみなさんに、今一度内容を確認いただければと思います。   セキュリティ アドバイザリ 2862973 とは? セキュリティ アドバイザリ 2862973 「マイクロソフト ルート証明書プログラムでの MD5 ハッシュ アルゴリズム廃止用の更新プログラム」は、ルート証明書プログラム (補足 1) に参加しているルート証明機関配下で発行されている証明書のうち、MD5 ハッシュ (補足 2) を利用している証明書の利用を制限します。 MD5ハッシュは研究者などからアルゴリズム自体の安全性の弱さを指摘され、より安全なアルゴリズムを利用するよう業界的に推進されています。このため、マイクロソフトでも、以前より、より安全なアルゴリズムを利用するよう呼びかけを行ってきました。また、マイクロソフトでは、証明書の利用環境をより安全なものにするために、長期に渡りアップデートを提供しており、今回も、この一環として提供されました。 参考: http://technet.microsoft.com/en-us/library/cc751157.aspx    適用により変更される動作 ルート証明書プログラムに参加しているルート証明機関配下で発行されている証明書のうち、以下の条件に合致する、MD5 ハッシュ関数を利用した証明書については、利用できない動作に変更されます。この条件に合致しない証明書では、動作に変更はありません。   <条件> ・ルート証明書プログラム参加しているルート証明機関配下で発行されている証明書である …

セキュリティ アドバイザリ 2862973 ~ ルート証明書プログラムにおける MD5ハッシュの利用制限 Read More »

Cryptographic Improvements in Microsoft Windows

You might remember that in June 2013 we released Security Advisory 2854544 announcing additional options for enterprise customers to manage their digital certificate handling configuration on the Windows platform. The particular functionality announced in Security Advisory 2854544 was first built into Windows 8, Windows Server 2012, and Windows RT and then back-ported to other operating …

Cryptographic Improvements in Microsoft Windows Read More »

セキュリティ アドバイザリ2854544 (KB2813430) ~ ルート証明書更新プログラムの管理強化

みなさん、こんにちは、村木ゆりかです。   本日、セキュリティ アドバイザリ2854544 を公開しました。本アドバイザリでは、今後も継続して、Windows における暗号化や証明書に関する強化について、情報を公開していく予定です。  今回は、ルート証明書更新プログラムおよび失効した証明書の更新ツール (KB2677070) のアップデート版 (KB2813430) を、公開しました。これまで、Windows Update へ直接通信が行えず、更新が行えないあるいは更新が難しかった環境でも、更新を行えるよう機能強化を行いました。   対象 Windows Vista Service Pack 2 Windows Server 2008 Service Pack 2 Windows 7 Service Pack 1 Windows Server 2008 R2 Service Pack 1 Windows 8 Windows Server 2012   入手方法 Microsoft Update サービスにて、自動更新を有効にしている場合: 自動で更新が行われます。追加の作業は必要ありません   手動で更新を行う場合: ダウンロード センターから入手可能です。また、Microsoft Update Catalog …

セキュリティ アドバイザリ2854544 (KB2813430) ~ ルート証明書更新プログラムの管理強化 Read More »