認証とは?/ ディック
[ 1302] 認証 - Wikipedia
[引用サイト] http://ja.wikipedia.org/wiki/%E8%AA%8D%E8%A8%BC
|
認証行為は認証対象よって分類され、認証対象が人間である場合には相手認証(本人認証)、メッセージである場合にはメッセージ認証、時刻の場合には時刻認証と呼ぶ。 単に認証と言った場合には相手認証を指す場合が多い。 資格認証とは、何らかのサービスを受ける際にその資格があるかどうかを確認する為に行われる認証行為の事である。 例えば選挙権がある事を保証する為に行ったり、コンピュータにログインする権限がある事を保証する為に行ったり、自動車の運転資格がある事(すなわち免許を持っている事)を保証する為に行ったりする。 属性認証とは被認証者の属性(年齢、性別等)の正当性を確認する為に行われ、例として酒や煙草を購入する際に成人であることを証明する認証行為(年齢認証)がある。 前述の選挙権がある事を保証する為の認証行為は、投票を行う資格がある事を証明する資格認証であるのと同時に、選挙権があるという属性を証明する属性認証でもある。 何らかの道具(計算機、核爆弾等)・書類・施設(計算機室、企業のビル、軍事施設等)を利用・閲覧・入場する際、被認証者に利用・閲覧・入場の権限がある事を確認する。 認証者は何らかの権限者(システム管理者、市役所の担当官)や、権限者の代行者(門番等)である事が多い。 (バイオメトリクス認証):本人固有の身体情報(指紋、虹彩等。バイオメトリクス情報という)を被認証者が認証者(もしくは認証装置)に伝える。 米国の核攻撃命令、日本の銀行オンライン取引(一部先進行)などでは、パスワードの代わりに乱数表を用いて認証を行う。例えば、「上から3段目の左から4文字目から、下に3数字読んで下さい」など。 Authenticationは何らかの電子データ(パスワードや公開鍵秘密鍵ペア)を用いて行われるので、事前に被認証者と電子データとを対応づけておく必要がある。 被認証者(の名前)と電子データとの対応関係が取れていないと、他人になりすまして電子データを使ったり、一人が複数の電子データを使って一人二役を行ったりという攻撃を防ぐ事ができなくなり、認証行為自身が全く意味を持たないものになってしまう。[1] 第一の方法は被認証者が認証者に対し秘密鍵を持っている事により得られるなんらかの能力の証明を行うかのいずれかを行う方法であり、第二の方法は、被認証者が認証者に、被認証者の公開鍵に対応する秘密鍵の知識の証明を行う方法である。 メッセージ認証はメッセージの同一性の保証であり、コンピュータウイルス、不正侵入等を使った破壊行為によりメッセージが変更されていない事を保証する為の手続きをメッセージ認証という。メッセージ認証の代表的な方式はメッセージ認証子 (MAC) を用いたものである。 時刻認証とはある物事が確かにその時刻にあった・起こった事を保証する為に行う認証行為の事である。 代表的な方法としてタイムスタンプを用いた方法がある。 法律上用いられる意味においては、ある行為または文書が正当な手続・方式でなされたことを公けの機関が証明することをいう。 国務大臣その他の官吏の任免、全権委任状および大使および公使の信任状、恩赦、批准書等については、天皇の認証を必要とし、かかる認証を受ける官職を特に認証官という(天皇の国事行為の一つ、日本国憲法第7条第5号)。 ^ 本人認証としては意味を持たないが、同一人物性の保証としては意味を持つ。例えばパスワード認証の場合、2回の認証を行った際、2回とも同じパスワードを使ったかどうかで2回の認証を受けたのが同一人物であるかどうかを確認できる。しかし認証者とパスワードとの対応を取らない限り、認証を受けたのが具体的には誰なのかは分からない。 |
[ 1303] 生体認証 - Wikipedia
[引用サイト] http://ja.wikipedia.org/wiki/%E7%94%9F%E4%BD%93%E8%AA%8D%E8%A8%BC
|
生体認証では、通常、テンプレートとよばれる情報を事前に採取登録し、認証時にセンサで取得した情報と比較することで認証を行う。単に画像の比較によって認証とする方式から、生体反応を検出する方式まで様々なレベルがある。 パスワードや物による認証では、忘却や紛失によって本人でも認証できなくなったり、漏洩や盗難によって他人が認証される恐れがある。生体情報の場合はそれらの危険性が低いと考えられ、手軽な認証手段(キー入力や物の携帯が不要)、あるいは本人以外の第三者が(本人と共謀した場合でも)認証されることを防止できる手段として、マンション等の入口、キャッシュカードやパスポート(入出国時)の認証手段に採用されている。 しかし、広く使用されるためには、怪我・病気・先天性欠損などによって生体認証が出来ない人々への対応も必要になる。また、経年変化によって認証が出来なくなったり、複製によって破られたりする可能性がある。生体情報は生涯不変であるが故に、一度複製によって破られてしまうと一生安全性を回復できないという致命的な問題をも持っている。更に現時点では安全性が疑問視されている製品もある(後述のセキュリティの項を参照)。 現在、利用件数が多いものには指紋、瞳の中の虹彩が挙げられる。金融機関がATMに採用したことで、手のひらや指の血管の形を読み取る静脈認証も利用件数が増えつつある。他にも、声紋、顔形、筆跡などによる認証が実用化されている。 認証の際には専用の読み取り機を用いて生体情報を機械に読み取らせることで、本人性(あらかじめ登録された本人であるか)の確認を行う。生体認証単独で用いられるだけでなく、カードやパスワード等と組み合わせることも多い。 電算機(コンピュータ)等の利用時あるいはそれによる電子制御の出入口にあらかじめ登録された本人を確認する目的でなされる。 生体認証への利用に適した生体情報の条件は、全ての人が持つ特徴であること、同じ特徴を持つ他人がいないこと、時間によって特徴が変化しないことが挙げられる。 よく「一卵性双生児の身体的特徴は同じではないか」という疑問が挙げられるが、指紋・虹彩・静脈などは一卵性双生児でも異なるとされている。 指紋 - 犯罪捜査にも用いられ、信頼性の高い認証方式であるが、(この犯罪捜査と結び付けられたイメージからか)利用者の心理的抵抗が大きい。また、生体認証としては古参の部類に入るため欺瞞の方法も数多く編み出されている。 虹彩 - 虹彩パターンの濃淡値のヒストグラムを用いる認証方式。双子でも正確な認証を行えることから、高い認証精度を有している。網膜と同じく、装置の小型化が困難であり、血管などの認証方法と比べると登録、運用コストが高くなる。 顔 - 利用者の心理的抵抗は小さいが、眼鏡や顔の表情、加齢による変化などによって認識率が低下する。また、一卵性双生児の場合に両者を同一人物と認識する可能性がある。 血管 - 近赤外光を手のひら、手の甲、指に透過させて得られる静脈パターンを用いる技術が実用化されている。 音声 - 声紋 を利用したものが良く知られている。健康状態によって認識率が低下することがある。声帯など発声器官の構造に由来しており基本的には身体的特徴であるが、行動的特徴の要素も有る。 DNA - 最も確実で究極的な生体認証の手段であるが、確認のためには(血液や唾液などの)サンプルの提出を必要とし、現時点においては瞬時に相手を見極める装置は開発されていない。一卵性双生児を識別できない欠点が有る。 筆跡 - 筆記時の軌跡・速度・筆圧の変化などの癖を利用する方法。腕首の回転や指の長さを推定する認証方法についての研究も行われている。なお、筆記後の筆跡画像だけを見る方法は生体認証とは見なされない。また、日本においては署名を行う習慣が少ないことも普及しない一因である。 まばたき - まばたきによる黒目領域の変化量を測定する方法。無意識にしているまばたきの動作は高速であり、他人が真似をするのは困難だと言われている。顔認証との組み合わせで携帯電話に採用された例(P902iS)もある。 生体認証では、原理的に、本人であるにもかかわらず本人ではないと誤認識してしまう「本人拒否率」と他人であるにもかかわらず本人と誤認識してしまう「他人受入率」がトレードオフの関係にある。他人受入率を限りなく0にしようとすると本人拒否率も高くなってしまう[1]ため、一般的に実用化されている生体認証では他人受入率が0ではない状態となっている。そのため、銀行ATMなどでは生体認証と暗証番号を併用し、両方の入力を求めることによって高いセキュリティを確保しているとされている。しかし実際には、前述のように生体認証の他人受入率が0ではないことによるセキュリティの弱さをカバーするために暗証番号を組み合わせているのであって、セキュリティが強いシステムであるとは必ずしも言えないのである。 音声や筆跡など当人のその日の状態に依存する認証方法よりも、指紋、静脈、虹彩といった当人の状態に依存しない認証の方が精度が高いと言われているが、しかし、これらの認証方法を使ったシステムですら、2005年時点ではセキュリティ上疑問の残るシステムも出回っている。現時点では、これまでのパスワード等の方法との併用が、現実的かつ安全・確実な手段と言えよう。 数百円程度の費用で実現可能な攻撃方法も、複数知られている。ゼラチンで作った人工指で多くの指紋認証システムを通過できる事が知られているし、紙で作った人工虹彩で虹彩認証システムをも通過できる可能性がある事すら指摘されている。静脈認証システムでも、生体以外(大根で作った人工指)を登録できる装置があることが実験によって確認されている。これらの問題には装置の精度を上げるなどの対応がなされているが、認証技術開発者と脆弱性研究者とのいたちごっこの状態である。 指紋認証の場合は、残留指紋をゼラチンに写し取って人工指を作り、その人工指で認証を通過させる事に成功しているので、安全性にはかなりの疑問が残る。 静脈認証の場合、2005年時点では、人工指をデータ登録して認証を通過させるという実験に成功しただけなので、誤認証が起こる危険があるとただちに言い切ることはできない。しかし、内部犯等が不正にデータを登録する可能性は否定できず、このようなケースで人工指のデータ登録がなされると、結果的に人工指で認証を通過できてしまうということになるため、やはり安全性に疑問が残る。 これらの方法は一般的に正規の方法とは違った不自然な行動を伴うので、認証手続きの際の姿を監視することで防げる場合もある。 全てのシステムで同じ情報を使わねばならない。よってあるシステムのシステム管理者は、登録された情報を使って別のシステムの認証を通過できてしまう可能性がある。 ただし、これらの指摘は必ずしも全ての生体認証技術に該当するわけではない。方式によっては元々問題とはならない物や、既に解決策が開発済みの物もある。 この項目「生体認証」は、工学・技術に関連した書きかけ項目です。加筆、訂正などをして下さる協力者を求めています。 |
[ 1304] 静脈認証も安心できない? 大根で作った偽造指で認証に成功:ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050701/163801/
|
「静脈認証でさえ、偽造指に対するぜい弱性は否定できない」−−。6月29日から7月1日まで東京で開催された「情報セキュリティEXPO」で、セミナーの演壇に立った横浜国立大学の松本勉教授はこう警告した。偽造/盗難キャッシュカード対策として金融業界で急速に普及しつつある静脈認証について、客観的なぜい弱性評価の必要性を示したものだ。 静脈認証は指、手のひら、手の甲などに赤外線を当て、体内にある血管の形状パターンを元に個人を識別する。指紋認証などと異なり、表から見える身体的特徴を使わないことから、「なりすまし」に強いと一般に思われている。だが実は、静脈認証の歴史は浅く、ぜい弱性が十分に検証されてきたとは言えない。 松本教授は比較的簡単に入手できる素材を選んで、人の指に似た光の透過率を持つ2種類の模型を作成した。その一つは、野菜の大根を棒状に切りラップで包んだもの(写真)。もう一つは、スキー場の人工雪に使われる高分子ポリマーをエポキシ樹脂と硬化剤で固めたものである。これらを市販の指静脈認証装置に登録した上で、再度差し込んで照合すると、いずれも100%受け入れられた。ただし、作ってから1週間経過した大根では、受け入れ率が98%に低下する。 今回の報告は研究の途中経過を示したもので、これをもって、直ちに「銀行が使う静脈認証の危険性が高い」とは断言できない。本物の人間の指を静脈認証装置に登録した上で、それに似せた偽造指を照合に掛ける実験の結果を、まだ示していないからだ。偽造指を使って、既に静脈パターンを登録済みの人になりすますのは、より困難と見られる。 一方で、松本教授は「指紋認証に比べて相対的に安全と思われている静脈認証にも、一定のぜい弱性があることは事実。頭から安全だと信じ込むのは危険で、今後、検証を重ねて精度評価基準を作る必要がある」と語る。 松本教授は、2000年7月、ゼラチンで作った偽造指を使って、市販の指紋認証装置を容易にだませることを発表し、世界のセキュリティ専門家を驚かせた。その後、虹彩認証装置についても、瞳の画像を名刺大の紙に印刷する方法で、容易に「なりすまし」できることを証明している。一連の実験結果は金融庁のWebサイトにPDF形式で掲載されている。 野村総合研究所(千手インフォメーションセンター) コストメリットに優れた運用管理ツールの導入が監視サービスの展開を支える 松下電器産業 パナソニック システムソリューションズ社 i-Proシリーズが牽引する映像監視セキュリティの進化 NTTコミュニケーションズ 迷惑メール対策はアウトソーシングサービスが有効 〜決め手は振り分け精度の高さ 製品&サービス・ディレクトリ業務アプリケーション設計開発OS/DB/ミドルウエアサーバー/ストレージ |著作権・リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について|サイトマップ| |
[ 1305] マイクロソフト・ライセンス認証 − @IT
[引用サイト] http://www.atmarkit.co.jp/fwin2k/qanda/002wpa/wpa_01.html
|
製品の種類(Windows OSやOffice製品などのアプリケーション)や販売形態(パッケージか、OEM向けのプリインストールか、企業向けのボリューム・ライセンスか)に よって細部の取り扱いは異なるが、基本的には、各ソフトウェア製品ごとに割り振ったユニークなID番号(プロダクトID)と、その製品がインストールされ たコンピュータのハードウェア構成情報を、ソフトウェアのインストール時にマイクロソフトのセンターに通知して登録しておき(インターネット、または24 時間受付の音声電話を利用)、後日、すでに登録されたプロダクトIDで、登録済みの構成とは異なるコンピュータ(つまり、以前にインストールしたものとは 異なるコンピュータ)にインストールしようとしても、それを許可しないというしくみ。 マイクロソフトによれば、数あるソフトウェアの不正コピーのうち、影響が最も大きいのは、自分が持っているソフトウェアを気軽な気持ちで友人など にコピーする「カジュアル・コピー」だという。特に、高速ネットワークやCD-Rが普及した現在では、コピーにかかる手間や、メディア・コストなどが劇的 に低下しており、このようなカジュアル・コピーのハードルがどんどん低くなっているのが実情である。しかしライセンス認証によって管理されているソフトウェアは、たとえインストールCDをコピーして第三者に渡したとしても、受け取ったユーザーはそれをインストールできなくなる。 インストールの最終段階で、ライセンス認証の処理が開始される。ここですぐにライセンス認証を実行してもよいし、認証処理を後回しにすることもできる。 インターネットを使って、いますぐライセンス認証を実行する。この方法でライセンス認証の処理を進めるには、インターネットにアクセスできなければならない。 音声電話を使ってライセンス認証を実行する。インターネットにアクセスできない場合には、この方法を使う。基本的なしくみはインターネットを使う場合と同じで、インターネットを使ってデータ交換を行う代わりに、音声電話を使ってオペレータと情報交換を行い、認証処理を進める。 いますぐにはライセンス認証は行わず、後回しにする。一定の期間は、ライセンンス認証を行わなくてもソフトウェアは使える。ただし期限を超えてもライセンス認証を行わないと、Windowsにログオンできなくなったり、ソフトウェアに機能制限が加えられたりする。 アクティベートせずに、あと何日利用できるかを示す情報。この期限を過ぎると通常どおりには利用できなくなる。 この場面ではまず、いますぐライセンス認証を行うか、ライセンス認証は後回しにしてインストール処理を続行するかのいずれかを選ぶ。ライセンス認証を後回しにしても、一定期間はソフトウェアを利用可能だが、期限をすぎると制限が加えられる(詳細は後述の「Q:アクティベートしないでソフトを使い続けるとどうなるのか?」を参照)。 すぐにライセンス認証を行う場合には、「インターネット経由で認証処理を行う」か、「音声電話を使って認証処理を行う」かのいずれかを選択する。いうまでもなく、コンピュータがインターネットに接続されているなら、前者の方法がはるかに簡単である。インターネットにアクセスできないコンピュータでは、音声電話を使うことになる(FAXの窓口はない)。この場合も、インターネットの代わりに情報交換を音声電話で行うだけで、基本的なライセンス認証のしくみは変わらない。ここでは、インターネットを使ったライセンス認証を例に手順を説明する。 全体の流れは次のようになる。以下ではこのフローチャートに従って説明していこう。図の左側(薄青)はライセンス認証を行うクライアント・コンピュータでの処理、右側(薄緑)はインターネット上に存在するマイクロソフトのライセンス認証センターでの処理を表している。 プロダクトIDとハードウェア・ハッシュの値をクライアント・コンピュータ側で収集し、これでセンター側のデータベースを検索する。未登録(つまり新規インストール)であるか、既登録でもハードウェア構成が大きく変更されていない場合(つまり同一コンピューへの再インストール)にはインストールを許可し、そうでなければ不許可を返す。 最初は、クライアント・コンピュータにおいて、各製品に表記されたプロダクトIDの情報が収集される。これは、インストール作業の初期にユーザーによって入力されている。そして次に、ハードウェア情報が収集される。この際には、マイクロプロセッサの種類やディスプレイ・アダプタ、ディスク・インターフェイス、ネットワーク・アダプタ、メモリ、リムーバブル・ストレージ(CD-ROM、CD-R、DVD-ROM)など、10種類のコンポーネントが調査され、これらの情報から8byteのハッシュ値が生成される(ハッシュ値の詳細については「Q:ハードウェアの情報を収集とは、具体的にどのようなものか?」を参照)。 収集されたプロダクトIDとハッシュ値からインストールIDが生成され、これがマイクロソフトのプロダクト認証センターに送られる(通信はSSLプロトコルを使って暗号化されている)。データを受け取ったセンター側では、送られたプロダクトIDとハードウェア・ハッシュ値でデータベースを検索し、すでに情報が登録されていないかを調査する。まだデータベースに登録されていなければ、初めてのインストールなので、情報をデータベースに登録し、アクティベーションの許可を返す(正確には、偽造を防止するためにデジタル署名された認証許可がクライアント側に戻される)。 情報がすでに登録されている場合は、(不正にコピーしたものでなければ)いったんインストールしたソフトウェアの再インストールだと考えられる。この場合には、ハードウェア・ハッシュの値を検査して、ハードウェア構成に大幅な変更がなければ(以前にインストールされたものと同一マシンと見なせるなら)、アクティベーションの許可を返す。大幅な変更があった場合には、エラーを返す。 以後クライアント側では、アクティベーションが許可されればインストール処理が続行され、エラーならエラーを通知して処理を中断する。 Studio .NETでは、アカデミック版のみライセンス認証が必要になっている。今後マイクロソフトから販売されるものは、基本的にすべてのソフトウェア製品でライセンス認証が必要になるものと思われる。 |
ディックの審査サイト、 ディックの審査比較サイトのお得な情報、 ディックの主婦情報、 ディックの低金利情報など、 ディックに関することの申込み情報サイト。
