- ベストアンサー
SSLとプロクシについて
例えばネットバンキングなどで、間にプロクシを入れると、たとえSSL通信でも各種「鍵」が漏れてしまい危険な状態になると言われますが、では、 1.先ず、httpsプロトコルのページをプロクシ抜きで表示させる。 ---------------------------- 私の先入観ですが、この時点でクライアントとサーバーが「鍵」を 取得したというイメージなのですが... ---------------------------- 2.プロクシを設定する。 3.パスワードなどを投入する。 4.サーバーに送る。 の場合はどうでしょうか? 1の先入観は、まったくの想像で間違っているかもしれませんが、もし 正しいとすると、串には鍵がわからないので安全なような気もするのですが...? これでもやっぱり危険なのでしょうか? 宜しくお願いします。
- ネットワーク
- 回答数5
- ありがとう数15
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (4)
- wildcat-yp
- ベストアンサー率37% (303/813)
正しくSSLが運用されていれば多少悪意のあるプロクシやネットワークを介したところで情報が漏れることはありませんよ。 まれに中間者攻撃が可能となるセキュリティーホールが発見されますが、修正されていれば問題ありません。 どんなネットワーク管理者であってもとくにネットバンクのような厳密なSSLを使用しているサーバと、ウイルス等の感染されていないPCとの間できちんと認証された通信は盗聴できません。 後、公開鍵については暗号化されません。それは、公開鍵は暗号化しなくても情報漏えいされない仕組みがあります。詳しくは、公開鍵暗号方式の鍵交換という基本技術になりますので調べればすぐに見つかると思います。 もちろん、これらはあくまでも中間者攻撃を使用しない前提ですので、修正されていない不具合を利用した攻撃等は絶対にないわけではありませんが・・・
お礼
ありがとうございます。 返事が遅れてすみません。 「公開鍵暗号方式 鍵交換」で検索してみました。 よくわかりました。
- pakuti
- ベストアンサー率50% (317/631)
元のページの人が何を聞いてきて話をしたのかにもよりますが・・・ 一般的なProxyサーバーを利用してSSL通信をしているのであれば ログを見ても何をしているのかはわかりません。 それは、https://www.xxx.xxx/ (宛先)以降がすべて暗号化されて送られるためです。 もしもProxyサーバーが公開鍵暗号の中身を見れるのであれば 公開鍵暗号方式自体が何の役に立たない事になります。 但し、クライアントを欺く事で、Proxyサーバーが中間サーバーとなり Proxyサーバーと本来のWebサーバー間で暗号化、その認証情報を元に Proxyサーバーとクライアント間で暗号化 を行うのであれば 中身をすべて覗く事が出来ます。 アクセスを監視する等も目的でこのような製品を出している会社もいます。
お礼
ありがとうございます。 なるほど。 >アクセスを監視する等も目的でこのような製品を出している会社もい >ます。 悪意のある串なら、情報が漏れる可能性アリと言うことですね。 ところで、クライアントが公開鍵を受け取る時も暗号化されているので しょうか? 公開鍵を受け取った後なら、 >https://www.xxx.xxx/ (宛先)以降がすべて暗号化されて送られる >ためです。 は、ボクにも理解できるのですが。。。 鍵自体が暗号化されているとして、鍵の復号をクライアントはどうやっ ているのでしょうか?
- pooh0206
- ベストアンサー率41% (179/433)
基本的にプロキシを間に入れても、鍵は漏れません。 SSLでは、最初に公開鍵暗号方式を利用するため、中間では解読不能です。 中間者攻撃があれば別ですが・・・
お礼
ありがとうございます。 http://www005.upp.so-net.ne.jp/nakagami/Memo/SSL/ http://www.atmarkit.co.jp/fsecurity/special/02fivemin/fivemin00.html を見て思ったのですが、 公開鍵を含む証明証の発行を受ける時に(タブン1の時)プロクシ が噛んでいるとマズイような気がするのですが。
プロキシの性質上、そもそも、httpsで一度成立したネットワーク通信の間に入り込むことはできません。ご質問の2が成り立たないことになります。
お礼
ありがとうございます。 http://oshiete1.goo.ne.jp/qa1989154.html と言う記事もあったりして、 いまいちスッキリしません。
補足
すみません、お礼の内容がトンチンカンになりました。 httpsは特別なルーティングを行っていて、串は間に入れないって ことでしょうか?
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_2_thumbnail_img_sm.png)
お礼
ありがとうございます。 私なりに、理解ができました。 1.SSLサーバは秘密鍵と公開鍵を作って、公開鍵をクライアントに 渡す。 2.公開鍵で暗号化したデータは、秘密鍵でないと復号できないので、 公開鍵そのものを暗号化する必要はない。 3.従って、proxy云々という話の次元ではない。 4.SSLサーバは、認証機関に認証された証明書が発行されていて、 信頼性が保証されている。 ただし、 A.古いブラウザやバグの混入によって、偽の証明書を見破られない 可能性がある。 B.悪意をもったproxyによって、偽のSSLサーバに誘導される可能 性を否定できない。 (本来のSSLサーバのページ構造が簡単なら簡単に-リアルタイ ムに-コピーできますよね。一々、アドレスバーをチェックして いられないし...) C.AとBが複合した場合、かなりヤバイ。 >まぁ、proxyだけでなく、アクセス先のwebサーバにしても、 >無線LANアクセスポイントにしても、身元の知れないものを >使うのは非常に危険です。 納得しました。