1. 序章

このチュートリアルでは、 RSASecurIDトークンについて詳しく説明します。 最初に、RSAアルゴリズムに関して重要な非対称暗号化について詳しく説明します。 次に、RSAトークンが使用され、現在十分に安全である場合に、RSAトークンが一般的にどのように機能するかについて説明します。

2. 非対称暗号化

RSAアルゴリズムは、非対称暗号化アルゴリズム、特に公開鍵暗号システムです。 非対称暗号化は、データの暗号化と復号化に1対のキーを使用する暗号化システムです。 キーは数学的に接続されています。

最初の秘密鍵は、メッセージを復号化するために使用されます。 宛先は秘密鍵を横に安全に保管し、誰とも共有しません。 2番目の公開鍵は、メッセージの暗号化に使用されます。 宛先は、メッセージの送信に関心のある人と公開鍵を共有します。

前述したように、両方のキーは数学的に接続されています。 通常、一方向性関数が使用されます。 したがって、データの暗号化は簡単ですが、秘密鍵なしで復号化するのは非常に難しいか、ほとんど不可能です。 さらに、アルゴリズムは、公開鍵に基づいて秘密鍵を取得することが複雑になるように設計されています。

非対称暗号化は、 TLS 、S / MIME、デジタル署名、RSASecurIDトークンなどのさまざまなアプリケーションやプロトコルで使用される多くの最新の暗号システムにとって重要です。 一方、非対称暗号化は対称暗号化よりもはるかに低速です。したがって、非対称暗号化は、目的によっては遅すぎることがよくあります。 したがって、最新のソリューションでは、非対称暗号化と対称暗号化を組み合わせたハイブリッドアプローチを使用しています。

3. RSASecurIDトークン

RSA SecurIDトークンは、当事者の2要素認証を実行するメカニズムです。ソフトウェア(アプリケーション、電子メール、またはSMS配信)またはハードウェア(キーフォブデバイス)のいずれかです。 。 このメカニズムは、60秒などの一定の時間間隔で認証コードを生成します。 認証を実行するために、当事者は特定のトークンに接続されたクレデンシャルと実際に有効な認証コードを入力する義務があります。

SecurIDトークンは、組み込みのクロックとシードと呼ばれる工場でエンコードされたキーを使用して、ランダムな認証コードを生成します。 RSA SecurIDサーバーには、アクティブなトークンと関連するシードのデータベースが含まれています。さらに、リアルタイムクロックも使用します。 認証中に、サーバーはRSA SecurIDメカニズムによって実際に提示されるコードを認識し、ユーザーが入力したコードと比較することにより、認証を実行します。

RSA SecurIDメカニズムは、認証プロセスに追加のセキュリティレイヤーをもたらし、データ侵害の可能性を減らします。 ただし、それでもいくつかの危険や攻撃に対して脆弱です。 それらについて説明しましょう。

3.1. 脆弱性

前述したように、RSASecurIDトークンは2要素認証メカニズムです。 そのため、認証プロセスにセキュリティが追加されます。 一方、RSAトークンのセキュリティに影響を与える可能性のある理論上の攻撃がいくつかあります。

まず、最も基本的な問題は、RSA機能が統合されたトークンデバイスまたはアクティブ化されたスマートフォンが紛失または盗難に遭う可能性があることです。 さらに、資格情報を盗む可能性のある攻撃は、認証コードも盗む可能性があります。

次に、 RSA SecurIDトークンは、man-in-the-middleタイプの攻撃に耐性がありません。 簡単に言うと、man-in-the-middle攻撃とは、攻撃者が直接接続されていると信じている2つのパーティの間に自分自身を挿入することです。 したがって、攻撃者は転送されたデータを傍受または変更できます。

次に、攻撃者がRSAサーバーに侵入し、シードなどのトークン関連のデータを取得する可能性が常にあります。 このような場合、トークンは無価値になります。 実際、2011年には、攻撃者がRSA SecurIDトークンの機密データを盗んだときに、RSA会社に対してサイバー攻撃が成功しました。 攻撃者は、米国政府を含む何千もの重要なクライアントに影響を与えました。

最後に、特定のアプリケーション、システム、またはハードウェアバージョン内のセキュリティの問題など、固有の脆弱性がさらに発生します。

4. 結論

この記事では、RSASecurIDトークンについて詳しく説明しました。 現在、AuthyやGoogle Authenticatorなどの有名なモバイルアプリケーションなど、多くの代替手段や同様のソリューションがあります。 一般的に、ハードウェアトークンは交換されています。 多くの場合、前述のモバイルアプリケーション、SMS、または電子メール認証コードの配信など、ソフトウェアベースのソリューションが好まれます。