【認証技術.003】認証の仕組み➂
佐藤@IT雑貨屋です。
個人や組織などを認証するには、様々な手法があります。ここでは認証方式などについてまとめます。
◆チャレンジレスポス方式
チャレンジレスポンス方式とは、認証場所(サーバ等)が毎回異なる情報(チャレンジ)を否認証者(ユーザなど)に送る認証方式です。ちゃんレンジは乱数や時間などを使用して適当に決めます。被認証者は、チャレンジにパスワードを加えて塩山した結果(レスポンス)を返します。認証場所では、チャレンジとレスポンスを比較して認証の可否を決定します。
演算にはハッシュを用いる方法、公開鍵暗号方式を用いる方法、共通鍵暗号方式を用いる方法の3朱里があります。最もyく利用されているのがハッシュを用いる方法で、APOP、EAP-MD5、EAP-TTLS、PEAPなど様々な認証方式で利用されています。
◆XMLデジタル署名
XMLデジタル署名(XML署名、XMS Signature)は、デジタル署名のためのXML構文を規定するW3C(World Wide Web Consortium)の勧告です。
XMLデジタル署名では、XML文書全体に対する署名に限らず、文書の一部分への署名、複数のXML文書への署名、XML文書への複数人による署名に対応可能です。
◆ディレクトリサービス
ディレクトリサービスとは、ネットワーク上のユーザやマシンなどの様々な情報を一元管理するためのサービスです。ディレクトリサービスへのアクセスには、一般的にLDAP(Lightweight Directory Access Protocol)というプロトコルが用いられます。
SSOで小するユーザ情報は、このディレクトリサービスを用いて一元管理されることも多いです。
◆内容認証
内容認証(メッセージ認証)とは、送信されたデータ内容の安全性を確認することです。ハッシュ関数などを用いて二つのデータを比較することで、データ改竄されていないか確認します。
・MAC(Message Authentification Code:メッセージ認証コード)
MACとは、メッセージ認証を行う時に、元メッセージに送信者と受信者が共有する共通鍵暗号方式の共通鍵を加えて生成したコードです。MACを用いることで、データが改竄されていないことに加えて、正しい送信者から送られてきた事を確認できます。
MACの生成にハッシュ関数を用いたものをHMAC(Hashbased Message Authentication Code)といます。HMACの生成ではSHA-1、MD5など様々なハッシュ関数を利用する事ができmす。ハッシュ計算時に共通鍵の値を加える事で、ハッシュ値の改善を困難にします。
・トランザクション署名
トランザクション署名(トランザクション認証)とは、主に金融機関での取引のトランザクションで、口座番号や振込先などのメッセージ内容が正しい事を確認するためのメッセージ認証です。送信内容を確認するので、送信内容認証とも言われています。
・コードサイニング認証
コードサイニング人相は、ソフトウェアのコード(プログラム)に対して行う認証です。コードのハッシュ値に対して、作成者がd時たる署名を行うことでソフトウェアの配布元の真正性を保証し、利用者はコードの改竄を検知できます。
◆時刻認証(タイムスタンプ)
契約書や領収書などの情報が電子化されると、それが改竄される危険性が出てきます。PKIでのデジタル署名では、他人の改竄は検知できますが、本人が改竄した場合には対処できません。その対策として、メッセージに、ある出来事が発生した日時を表す情報を付加してタイムスタンプを作成する事で、作成時刻を認証する時刻認証の仕組みがあります。これをタイムスタンプ技術といいます。
基本的にはTSA(時刻認証局)が提供している時刻認証サービスを利用して、書類のハッシュ値に時刻除法を付加し、TSAのデジタル署名を行いタイムスタンプを作成します。これにおり、本人が改竄したとしても、そのタイムスタンプを見ることで不正を判断する事ができます。
この時刻認証で証明できるのは、以下のものです。
1.存在性:そのデータがその時刻には存在していた事
2.完全性:その時刻の後には、改竄されていない事
デジタル署名では、完全性は証明できても存在性を証明できません。そのため、存在性の署名が必要な時に時刻認証を用いる事になります。
◆生体認証(バイオメトリクス認証)
生体認証は、指や手のひらなど、体の一部の動作や癖などを利用して本人確認を行う認証手法です。忘れたり、紛失したりする事がないため利便性が高いので、様々な場面で利用されています。代表的な生体認証には、以下のものがあります。
①手を利用する認証
手を利用する認証には、指の指紋を利用する指紋認証や、手のひらの静脈を利用する静脈認証などがあります。また指の静脈を利用した指静脈認証なども利用可能です。
指紋認証の方式には、光をあてて凹凸による反射を利用する光学式や、電極と皮膚表面の距離によって変わる静電幼鳥を利用する静電容量方式などがあります。光学式では、光の当て方によって認証に影響が出たり、静電容量式では、汗などで濡れた手の場合に検知が上手くいかないケースも発生します。また経年劣化により情報も変化するので、パターン更新をする作業も必要となります。
②手以外の身体的特徴を利用する認証
手以外を利用するものとして、目の虹彩を利用するアイリス(虹彩)認証があります。目の虹彩には経年劣化がないため、パターン更新は不要となります。
また近年では顔全体で認証する顔認証もあります。画像から顔と思われる部分を抜き出し、顔面が総データベースと照合して実現できます。また声による音声認証などもあります。
➂行動的特徴を利用する認証
行動的な特徴を抽出して認証する方式もあります。代表的なものはサイン(筆跡)認証や声紋認証、キーストローク認証などがあります。
生体認証では、入力された特徴データと登録されている特徴データを照合して判定しますが、この時、二つが完全に一致する事はほとんどないので、あらかじめ閾値をもうけて一致と判断します。この時の確立を本人拒否律(FRR:False Rejection Rate)といいます。また誤って他人を受けれいてしまう事もありますが、その確率を他人受入率(FAR:False Acceptance Rate)と呼びます。