暗号、SSH、Webサーバ・アクセスログ

					2009年05月22日
情報科学類 コンピュータリテラシ

                                       筑波大学 システム情報工学研究科 
                                       コンピュータサイエンス専攻, 電子・情報工学系
                                       新城 靖
                                       <yas@is.tsukuba.ac.jp>

このページは、次の URL にあります。
http://www.coins.tsukuba.ac.jp/~yas/coins/literacy-2009/2009-05-22
あるいは、次のページから手繰っていくこともできます。
http://www.coins.tsukuba.ac.jp/~yas/
http://www.cs.tsukuba.ac.jp/~yas/

■連絡事項

■ネットワーク上の脅威

悪意を持つ人、プログラムによる脅威。
盗聴
本来の通信相手以外の人が 通信内容のコピーを入手する。例:クレジットカード番号を奪われる、 プライバシが侵害される。
改ざん
通信内容を書き換える。例:
なりすまし
悪意のある人が、他の人に成り代わる。
インターネットで流れるデータは、流れるデータを見れば簡単に内容を知るこ とができる。(1つひとつのデータグラムは、はがきと同じ。)

ネットワークには、次のものを含めて考える

■暗号

◆暗号に関する基本用語と安全性

暗号とは、情報の意味が当事者以外にはわからないように情報を変 換することである。

図? 暗号化、復号化、平文、暗号文、解読、鍵

図? 暗号の考え方
平文(ひらぶん(clear text))
元の情報
暗号文(cipher text)
変換された情報
平文、暗号文といっても、文字だけでなく、画像や音声などコンピュータが扱 えるあらゆるデータ(ビット列)が想定されている。

暗号化(encrypt)
平文を暗号文に変換すること。暗号化鍵が必要。
復号化(decrypt)
暗号文を平文にもどすこと。復号化鍵が必要。
鍵(key)
暗号化や復号化に必要な(短い)データ。
解読
当事者以外の第三者が、暗号文を元にもどすこと、あるいは、復号化鍵を得る こと。
暗号化や復号化の方法(アルゴリズム)は、何種類もある。

◆鍵を使うことの重要性

問: 答え:

暗号化の方法が秘密になっていると、一見、より強そうにみえる。しかし、そ の暗号が、強いのか弱いのか調べる方法がない。攻撃すると、簡単に落ちるか もしれない。暗号化の方法を提供している者が信頼できない時には使えない。

◆長い鍵を使うことの重要性

暗号の安全性は、鍵の安全性によっている。

◆暗号の経済学

暗号の安全は、解読にかかるコストを大きくすることで、解読され た平文から得られる利益を相対的に小さくすることに依存している。

鍵を長くするだけで、安全性が指数関数的に高くなる。 鍵を1ビット長くすると、解読時間が2倍になる。 (「鍵の長さを2倍にすると解読時間が2倍になる」は、誤り)。

図? 指数関数

図? 指数関数

図? 指数関数

図? 指数関数

パスワードは、コンピュータの中では、暗号化の鍵として使われる。 長いパスワードは、破られにくい。1文字(大文字小文字数字記号)増やすと、 総当たりで解読に要する時間が、50倍から100倍近くかかるようになる。

◆共通鍵暗号系と公開鍵暗号系

暗号の方法は、大きく2つに分類される

共通鍵暗号系(対称暗号系)
暗号化鍵と復号化鍵が同じ(または片方から片方が簡単に計算できる)。 公開鍵暗号系と比較して軽い(処理が高速である)。
公開鍵暗号系(非対称暗号系)
暗号化鍵から復号化鍵を容易に類推できない。 共通鍵暗号系と比較して重たい(処理が低速である)。

両者を組み合わせて使う。

◆一方向関数

y=f(x) で、x から y を計算することは簡単だが、y から x 逆を計算するこ とは非常に難しい関数。

◆ハッシュ関数(メッセージ・ダイジェスト、メッセージ要約関数)

元データからデータの指紋と呼ぶべきような特徴的な数(普通は元データの長 さによらず固定長)を抽出するもの。

チェックサムや CRC (Cyclic Redundancy Check) にも似ているが、暗号やディ ジタル署名で使われるのは、Collision Proof 性が求められる。

ハッシュ関数の結果を、fingerprint というこがある。

◆公開鍵暗号系

公開鍵暗号系(非対称暗号系)では2つの異なる鍵を用いる。 便宜上、この2つを公開鍵と秘密鍵と呼ぶ。

これらの鍵は、互いに相手の逆関数になっているものが広く使われている。

図? 公開鍵暗号を使った暗号通信の手順

図? 公開鍵暗号を使った暗号通信の手順
  1. 受手は、公開鍵と秘密鍵の組を作り、公開鍵を誰でも読めるようにする。
  2. 送手は、受手の公開鍵を暗号化鍵として用いて暗号文を作り、送る。
  3. 送手は、受け取った暗号文を、自分の秘密鍵を復号化鍵として用いて復号化し、 元の平文を得る。

ここで、公開鍵から秘密鍵を計算することは難しい。ある平文を公開鍵で暗号 化してみたところで、秘密鍵を得ることは難しい。

公開鍵暗号の利点は、鍵を管理する手間が掛らないこと。

共通鍵暗号
情報を交換する間で鍵を安全に共有しなければならない。しかも、通信 相手ごとに鍵を変える必要がある。
公開鍵暗号
受手ごとに、1つの暗号化鍵を公開するだけでよい。今までに通信をしたこと がない人からでも、暗号化されたメッセージを受け取ることが可能である。
公開鍵暗号系は、暗号通信だけでなくディジタル署名や利用者認証、電子現金 にも応用される。

◆認証

認証とは、情報の正当性や完全性を確保する技術である。

利用者認証
アクセスしてきた人が正当か否かを判定する。 しばしばパスワードや暗唱番号が用いられる。
ディジタル署名(メッセージ認証、電子署名)
通常の署名とおなじく、送られてきたメッセージが送信者本人のもので あることを識別、確認すること。

◆認証の例

◆man-in-the-middle攻撃

いくら暗号通信をしても、通信相手を認証しないと意味がない。 認証しない場合、man-in-the-middle攻撃に弱い。

A=攻撃者、攻撃者=Bで暗号通信

図? man-in-the-middle攻撃

◆ディジタル署名

ディジタル署名では、通常の署名と同様に、次のような性質が必要である。

ディジタル・データでは完全なコピーが簡単に作れるので、紙上の署名や捺印 よりも難しい。

公開鍵暗号系を使ってディジタル署名を行うことができる。

図? 公開鍵暗号を使ったディジタル署名の手順

図? 公開鍵暗号を使ったディジタル署名の手順
  1. (受手ではなく)送手は、公開鍵と秘密鍵の組を作り、公開鍵を誰でも 読めるようにする。
  2. 送手は、自分の秘密鍵を暗号化鍵として用いて暗号文を作り、送る。
  3. 送手は、受け取った暗号文を、送手の秘密鍵を復号化鍵として用いて復 号化し、元の平文を得る。この時、きちんと平文が得られた場合、その平文は、 その公開鍵の持ち主から送られてきたことがわかる。

メッセージ全体を暗号化する代わりに、メッセージを平文で送り、それにメッ セージを一方向関数(ハッシュ関数)と呼ばれる方法で計算した結果だけを、 秘密鍵で暗号化したものを送る方法もある。一方向関数では、計算結果から元 の値(メッセージ)を計算することが難しい。

ディジタル署名や利用者認証は、公開鍵暗号系ではなく、共通鍵暗号系を用い ても可能である。ただし、この場合、鍵を管理する信用できる管理センターが 必要となる。

◆公開鍵暗号を使った利用者認証

サーバへのログインを例に、これを説明する。

  1. ユーザは、サーバにログイン・アカウントを登録する時に、公開鍵と秘 密鍵を生成し、公開鍵をサーバに届け、秘密鍵を自分で保持する。
  2. ユーザは、通信回線を通じてサーバにアクセスしてきた時、サーバは乱 数を1つ生成し、その乱数をユーザの「公開鍵」で暗号化し、ユーザに送り返 す。
  3. ユーザは、送られてきた暗号化された乱数を、保持している秘密鍵で復 号化し、サーバに送り返す。
  4. サーバは、ユーザから返された乱数が正しければ、正当なユーザである と判定する。
次回の呼び出しでは、別の乱数を用いることで、通信を記録している傍受者に も対応することができる(challenge-response方式)。

単なる暗証番号の場合、通信を傍受されたら終り。 毎回違う数を使えば、傍受されていても平気。

■SSH

◆r系コマンド

rlogin
remote login。遠隔ログイン。 (文字端末を使っている状態で)別のコンピュータにネットワーク経由で接続し てログインし、別のコンピュータを(文字端末の状態で)利用可能にすること。
rsh
remote shell (sh)。別のコンピュータでプログラムを実行する。
rcp
remote copy (cp)。別のコンピュータとの間でファイルをコピーする。
ftp
file transfer program/protocol。別のコンピュータとの間でファイルをコピーする。
SSH (Secure Sell) とは、これらのプログラムを置き換えたプログラム群の総称/代表。 遠隔(remote)の対になる言葉は、ローカル(local)。

◆r系コマンドの弱点

◆SSHでの解決方法

◆SSHでのユーザの認証

暗号化された通信路が確立された後は、パスワードを流しても安全である。

個人ごとに公開鍵での認証機能を利用したほうがよい。

◆SSHにおけるホストの公開鍵の確認

ssh (scp, WinSCP, Tera Term, PuTTY含む) で始めてあるホストに接続する時 には、警告が現れる。

ssh コマンド 

% ssh ホスト名 -l ユーザ名 [←]
The authenticity of host 'ホスト名 (IPアドレス)' can't
be established.
RSA key fingerprint is 16進数32桁.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'ホスト名 (IPアドレス)' (RSA)
to the list of known hosts.
ホスト名% [←]

この 16進数32桁 の数は、接続先のホストの公開鍵を、ハッ シュ関数 MD5 にかけた結果である。この32桁の数を目で確認することにより、 接続先のホストが正しい( man-in-the-middle攻撃が 行われていない)ことがわかる。

目で確かめる時には、次のものと比較する(2009年5月22日現在。変更される可能 性もある)。

azalea1-60, balsam1-60, canna1-50
d8:b2:bd:32:c0:9d:80:16:dc:40:7e:73:03:25:4f:b9
orchid-nwd, www
1d:52:07:e5:81:88:c3:e6:e6:dc:d7:08:de:b1:e2:25
orchid-nwd は、Web サーバが動作しているコンピュータの名前。www という別 名を持つ。

◆sshにおける公開鍵による認証

SSH では、公開鍵暗号を使った利用者認証 が使える。

◆シングル・サイン・オン(Single Sign On)

シングル・サイン・オンとは、1度1カ所にログインしただけで他の連携した サーバを認証無しで(パスワードを再び打つことなく)利用できること。次の ような技術がある。 coins では、ssh は、Kerberos と連動していることがある。 iMac にログインした後、特定のサーバに ssh で接続する時にパスワードを 聞かれないことがある。

■Webサーバ・アクセスログ

Web サーバでは、一般に、クライアントからページがアクセスされるごとに、 記録を残している。この記録を アクセスログ(access log) という。

■実習

実習時間中には、 以下の課題をできるだけ多く行いなさい。全部を行う必要はない。

★練習問題(1101) sshコマンドによる遠隔ログイン

手引き 2.5節 参照The Unix Super Text 29.3.1項 参照。 ssh コマンドを利用して、別のコンピュータに遠隔ログインしてみなさい。 
host1% ssh hostname
Password: (パスワードを打つ)[←]
hostname% []
hostname は、 balsam20 など、接続したいコンピュータの名前を入れる。 実習では、別のコンピュータとしては、次のものを利用しなさい。 これらのホスト名には、正確には、coins.tsukuba.ac.jp を付ける。 
% ssh balsam20.coins.tsukuba.ac.jp [←]
% ssh www.coins.tsukuba.ac.jp [←]
実習室内では、coins.tsukuba.ac.jp を省略できる。 
% ssh balsam20 [←]
% ssh www [←]

一番最初に接続する時には、次のような警告(Warning:)が表示される。 

[azalea20:~] yas% ssh azalea21[←]
The authenticity of host 'azalea21 (130.158.86.41)' can't be established.
RSA key fingerprint is d8:b2:bd:32:c0:9d:80:16:dc:40:7e:73:03:25:4f:b9.
Are you sure you want to continue connecting (yes/no)? yes[←]
Warning: Permanently added 'azalea21,130.158.86.41' (RSA) to the list of known hosts.
Password:
Welcome to Darwin!
[azalea21:~] yas% []
この fingerprint は、接続先のホストの公開鍵のハッシュ値である。これが次 のようになっていることを確認してから yes と打ち込みなさい。
azalea1-60, balsam1-60, canna1-50
d8:b2:bd:32:c0:9d:80:16:dc:40:7e:73:03:25:4f:b9
orchid-nwd
1d:52:07:e5:81:88:c3:e6:e6:dc:d7:08:de:b1:e2:25
遠隔ログインすると、ログイン先でシェルが実行される。 シェルを終了(exitコマンド)すると、遠隔ログイン自身も終了する(ログアウトする)。 ssh で遠隔ログインした後に、シェルのプロンプトが変わることを確認しなさ い。また、exit コマンドを実行すると、ログアウトできることを確認しなさい。

★練習問題(1102) ~/.ssh/known_hostsの観察

一度遠隔ログインしたホストについては、~/.ssh/known_hosts にそのホストの 公開鍵が保存される。そのことを確認しなさい。 
% cat ~/.ssh/known_hosts [←]
Kerberos が有効になっている場合、パスワードを打つことが省略できる。その 場合、klist コマンドで、Kerberos の ticket が表示される。

★練習問題(1103) ssh -l オプションや user@remotehost の形式によるログイン

ログイン先とログインもとでユーザ名が異なる時には、次のように、-l オプショ ンに続きログイン先のユーザ名を使う。 

host1% ssh remotehost -l user
Password: (パスワードを打つ)[←]
remotehost% []
または、「@」の前にログイン先のユーザ名を指定する。 
host1% ssh user@remotehost
Password: (パスワードを打つ)[←]
remotehost% []
この -l オプションを利用する方法や @ を利用する方法で遠隔ログインを行っ てみなさい。(注意:同じ場合でも、あえて指定することもできる。)

★練習問題(1104) 遠隔ログインによるコマンドの実行

遠隔ログインを行い、次のコマンドを実行しなさい。そして、遠隔ログインを 行っていない時(ローカルでの実行結果)と比較しなさい。 この実習では、端末を2枚開き、片方の端末で遠隔ログインを行い、もう片方 ではそのまま実行し、2つの結果を比較する。

★練習問題(1105) ssh+kill

まず、殺しても問題がないプロセスを生成しなさい。別のコンピュータから遠 隔ログインし、そのプロセスを kill コマンドで殺しなさい。

★練習問題(1106) 学類 Web サーバのアクセス・ログの観察

次の手順で、学類 Web サーバに保存されている アクセス・ログを観察しなさい。 ログは、次のような形式をしている。 
130.158.83.140 - - [21/May/2009:18:44:23 +0900] "GET /~yas/coins/literacy-2009/2009-05-22/ HTTP/1.1" 200 40581
この例では、一番左に表示されているものは、クライアントの IP アドレスで ある。その他に、日付やどの URL をアクセスしたか、転送したバイト数(一番 右)も表示されている。

自分自身で、情報科学類の Web ページをアクセスした時に、自分が使っているパ ソコンの IP アドレスが表示されることを確認しなさい。

次のようにして、 grep コマンド で IP アドレスを検索する方法もある。 

% grep 130.158.83.140 access_log.上のlsの結果で置き換える [←]

★練習問題(1107) IPアドレスによる ssh コマンドの利用

dig コマンドなどで接続するホストの IP アドレスをしらべなさい。 ssh コマンドの引数としてホスト名の代わりに IP アドレスを指定しなさい。

★練習問題(1108) ポート番号の指定

ssh コマンドでは、標準的にはサーバ側(接続を受ける方、遠隔側)では、ポー ト番号 22 が利用される。22 以外のポート番号を利用している時には、-p オ プションによりその番号を指定することができる。-p オプションの動作を確認 しなさい。

★練習問題(1109) sshにおける公開鍵による認証

ssh-keygen コマンドを使って、公開鍵と秘密鍵の組を生成しなさい。鍵の種類 としては、rsa 、または、dsa を使うとよい。生成に成功すると、標準では、 ~/.ssh というディレクトリの下に、2つのファイルが作られる。

前者に、秘密鍵、後者に公開鍵が保存される。秘密鍵の方は、パスフレーズを 鍵とした「対称暗合系」で暗号化されて保護される。パスフレーズは、長く (10-30文字)にする。(この課題で、うまく動作していることを確認するために は、通常のログインのパスワードとは必ず違うものにしなさい。)

ssh でログインする時に、生成した鍵の組を使って認証を行いなさい。 それには、クライアント側に秘密鍵を置き、サーバ側の ~/.ssh/authorized_keys (OpenSSHの場合)に、公開鍵を設定すればよい。 接続時には、秘密鍵を暗号化するために使ったパス レーズを打つ込む。(通常の通常のログインのパスワードを打つことはない。)

coins 内で実験する時には、クライアントもサーバも同じ ~/.ssh を参照する。 したがって、authorized_keys を作成するには、次のようにする (RSAかDSAのどちらか一方を選んで実施する。 両方行った場合、後から行った設定が有効になる。)。

rsaの場合: 

% cd ~/.ssh [←]
% ls id_rsa* [←]
id_rsa          id_rsa.pub
% cp id_rsa.pub authorized_keys [←]
dsaの場合: 
% cd ~/.ssh [←]
% ls id_dsa* [←]
id_dsa          id_dsa.pub
% cp id_dsa.pub authorized_keys [←]
% []

authorized_keys を作成する前には、ssh で接続する時に次のように 「パスワード Password 」が聞かれる。 

% ssh azalea20 [←]
Password:
authorized_keys を作成した後には、ssh で接続する時に次のように 「パスフレーズ passphrase」が聞かれる。 
% ssh azalea20 [←]
Enter passphrase for key '/home1/prof/yas/.ssh/id_dsa':
これに対して、ssh-keygen でパスフレーズを打ち込む。(公開鍵による認証に 失敗すると、通常のパスワードによる認証に落ちるのが一般的である。システ ムによっては、認証方式に制限を加えていることがある。)

★練習問題(1110) ssh-agentの利用

以下のようにして、ssh-agent を利用してなさい。 
% ssh-agent tcsh [←]
% printenv SSH_AUTH_SOCK [←]
% ssh-add -l [←]
		ssh-agentが有効なこと確認
% ssh-add [←]
                鍵の登録
% ssh-add -l [←]
	        鍵が登録されたことの確認
% ssh remote1 [←]
% ssh remote2 [←]
% ssh remote3 [←]
                利用
% exit [←]
                ssh-agentが有効な tcsh の終了
% []
ssh-agent にコマンド(上の例ではtcsh)を与える代りに、csh の環境変数を設 定させるコマンドを出力させ、eval で実行する方法もある。 
% eval `ssh-agent` [←]
% printenv SSH_AUTH_SOCK [←]
<以下同じ>
ただし、この方法ではログアウトした時に ssh-agent のプロセスが残ること がある。そうならないように ログアウト時に実行させるプログ ラムで殺す(ssh-agent -k)ようにする。

★練習問題(1111) MacOSX キーチェーンアクセス(Keychain Access.app)

キーチェーンアクセスは、MacOSX に付属している、パスワード等の機密情報を 暗号化して保存するプログラムである。 暗号化には、利用者が指定したパスワードを鍵として使う。 標準では、次のファイルに、暗号化された機密情報を保存している。 このファイルが存在することを ls -l や Finder で確認しなさい。

「キーチェーンアクセス.app」のパスワードとログインの時に打つパスワード を同じにしていると、自動的に機密データの暗号を解いてアプリケーションに 渡す機能がある。注意すべきことは、ログイン・パスワードを変更しても、 「キーチェーンアクセス.app」のパスワードは変更されないことである。 活用するには、ログイン・パスワードを変更したら、 「キーチェーンアクセス.app」のパスワードも変更するとよい。

何も使っていなければ、「キーチェーンアクセス.app」のパスワードは、初期 パスワードのままになっている。重要な情報を保存していなければ、上記のファ イルを削除し、ログインしなおすことで、リセットするとよい。

次のような MacOSX のアプリケーションが、「キーチェーンアクセス.app」を 使って機密情報を暗号化して保存することができる。

「キーチェーンアクセス.app」を実行して、どのような機密データが保持され てるかを見てみなさい。

★練習問題(1112) ディスクユーティリティ.appによるディスクイメージの作成

MacOSX の「ディスクユーティリティ.app (Disk Utility.app) 」は、ハードディス クを管理するためのアプリケーションである。通常は、実際に対して「フォー マット」という作業を行い、ハードディスクを分割して「ファイル」や「ディ レクトリ」を通じてアクセス可能にする。

急に電源が落ちた時などには、ハードディスクの状態が「ファイル」や「ディ レクトリ」としては正常にアクセスできなくなることがある。「ディスクユー ティリティ.app」は、このような時に不整合を修復する 機能がある。コンピュータの電源を入れた時に自動的に実行されることもある。

「ディスクユーティリティ.app」を使うと、1つの大きなファイルを、1個の ハードディスクのように扱うことができる。このように、ディスクに見立てる ことができるデータのことを「ディスク・イメージ」という。「ディスクユー ティリティ.app」を使うと、ディスク・イメージをファイルに保存することが でき、また、ファイルに保存されたディスク・イメージを、「マウント」とい う操作を行い、通常のアプリケーションからファイルとディレクトリの集合と してアクセス可能にする。

MacOSX では、ディスク・イメージを含むファイルの拡張子は、「.dmg」である。

自分で CD-R や DVD-R にファイルを保存する時には、まず、 「ディスクユーティリティ.app」を使って ディスク・イメージをファイルに保存する方法が一般的である。

次のような操作を行いなさい。

★練習問題(1113) ディスクユーティリティ.appによる暗号化されたディスクイメージの作成

MacOSX の「ディスクユーティリティ.app (Disk Utility.app) 」を 使って、暗号化されたディスク・イメージを作成しなさい。 暗号化の方式としては、AES が使われることを確認しなさい。

★練習問題(1114) openssl コマンド

openssl コマンドには、次のような機能が含まれている。 man コマンドを用いてこれらの機能を調べなさい。 また、これらの機能を実行してみなさい。

★練習問題(1115) 出席ボタンのIPアドレス表示

講義のトップ・ページ内にある出席ボタン を押しなさい。それにどのような IP アドレスが表示されるかを調べなさい。 また、過去の出席状況を調べなさい。ここで表示される IP アドレスからどの ようなことがわかるかを考察しなさい。

★練習問題(1116) Tera Term、その他のプログラムの利用

手引き 9.12節 参照。 Tera TermやPuTTYは、Windows で動作するssh のクライアントである。これら のプログラム、または、類似のプログラムを用いて、coins の外部からcoins 内のコンピュータに接続しなさい。 ただし、 2009年5月21日現在、一時的に学外からの接続に制限が加えられている

★練習問題(1117) VPNの利用

VPN (Virtual Private Network) とは、 インターネットという誰もがアクセス可能なネットワークを利用しながら、 事実上専用線(private network) を使っているように安全な通信路を 提供する事実である。VPN を実現するためには、暗号化の技術が使われている。

coins でも、VPN 機能を提供している。 手引き 12.2節 参照。 この機能を利用しなさい。

★練習問題(1118) Thunderbird のディジタル署名と暗号化機能

Thunderbird では、ディジタル署名の機能と暗号化機能を利用することが出来る。 これを動作させてみなさい。

■課題11 暗号、ssh、Webサーバ・アクセスログ

締め切りは、2009年5月26日火曜日とする。 以下の問題、および、回答をテキスト・ファイルに記述し、 レポート提出ページから提出しなさい。

(1) ssh コマンドを使って orchid-nwd (www) にログインしなさい。次のコマ ンドを orchid-nwd で実行するとで、ssh にログインできたことを示しなさい。 レポートには、orchid-nwd での次のコマンドの実行結果を含めなさい。

(2) 練習問題1106 を行いなさい。 Web サーバが生成しているアクセス・ログか ら、自分自身がアクセスした記録を抜き出しなさい。自分が利用しているコン ピュータの IP アドレスを調べ、それがアクセス・ログに含まれていることを 確認しなさい。アクセスログのうち、数行をレポートに含めなさい。

(3) ssh で最初にあるホストに接続する時に、次のような表示がなされることがある。 

RSA key fingerprint is d8:b2:bd:32:c0:9d:80:16:dc:40:7e:73:03:25:4f:b9.
この表示の意味を、今日の授業内容の用語を用いて簡単に説明しなさい。 2回目以降は、この表示がなされない。その理由を簡単に説明しなさい。

(5) [加点] 選択課題。次の課題を1つ以上行いなさい。

(4a) [加点] openssl コマンドを用いて、ファイルを暗号化しなさい。また、 それを復号化しなさい。それらが実現されていることがわかるように、シェル との対話をレポートに含めなさい。

(4b) [加点] 「ディスクユーティリティ.app」を用いて暗号化されていないディ スク・イメージと暗号化されてたディスク・イメージの2つを作成し、次のよ うにして暗号化の効果を確認しなさい。

  1. それぞれに、同じ内容を含むテキスト・ファイルをコピーする。
  2. ディスク・イメージをアンマウントする。
  3. ディスク・イメージを含むファイルに対して、 
    % strings ディスクイメージを含むファイル | grep 文字列 [←]
    ここで「文字列」には、1 でコピーしたテキスト・ファイル の内容を指定する。コマンドラインからは漢字を打つことが難しいので、 「文字列」には、ASCIIによる簡単なものを指定しなさい。

    この結果、暗号化されていないものにはその文字列が表示され、暗号化されて いるものには表示されないことを示しなさい。

strings コマンドは、文字列データと文字列以外のデータが混在したファイル から文字列だけを抜き出すコマンドである。ただし、文字列としては、ASCII 文字列しか扱えず、また、完全でもない。strings コマンドで表示されなかった からといって、文字列が暗号化されているとは厳密には言えない。

(5) [加点] 選択課題。次の課題を1つ以上行いなさい。

(5a) [加点] 自宅から VPN 機能を使って coins のコンピュータに接続しなさ い。そのことを示すために、レポートには、どのような設定を行ったか、ログ インしたコンピュータの名前、who am i コマンドの結果(VPNを使った時と使わ なかった時の比較)等を含めなさい。

(5b) [加点] ssh-agent を利用して、パスワード入力なしにリモート・ログイン できるようにしなさい。そのことを示すために、レポートには、次のコマンド の実行結果を含めなさい。

(5c) [加点] Tera Term、PuTTY、その他の ssh クライアントを用いて公開鍵を 用いた認証により、coins のコンピュータに接続しなさい。そのことを示すた めに、レポートには、どのようなプログラムを使ったのか、公開鍵の生成手順、 クライアント側の設定、サーバ側の設定を含めなさい。

Last updated: 2009/05/21 14:15:11
Yasushi Shinjo / <yas@is.tsukuba.ac.jp>