プロジェクト間のコラボレーションセキュリティ

はじめに

今日、多くのインターネットサービスがインターネットを介して相互にやり取りしています。 相互作用の特別なクラスは、機密情報が送信されるもの（個人データ、秘密メッセージ）または誰かが実行を明確に確認する必要があるチーム（たとえば、送金や誰かに代わってメッセージを公開する）です。 明らかに、そのようなサービスは侵入者から確実に保護されるべきです。



残念ながら、すべての開発者がアプリケーションのセキュリティの程度について考えるわけではありません。 この問題は、多くのeビジネス担当者がエンドサービスに実装された場合、適切に理解せずに使用すると深刻な脆弱性を引き起こす可能性のあるプロトコルを開発しているという事実によってさらに複雑になります。



この記事の目的は、既製のプロトコルをより慎重に使用して独自のプロトコルを開発するために、プロジェクト間（つまり、サーバーとサーバー）の相互作用中に発生する可能性のあるタイプの攻撃とそれらに対する保護手段を簡単に説明することです。 多くの場合、この分野のエンド開発者の知識はやや断片的であるため、情報セキュリティの基本を事前に検討します。



さまざまなタイプの攻撃からの保護（または保護の欠如）は、今日の一般的なシステムのプロトコルの例で実証されています： Assist 、 Cyber​​plat 、 WebMoney 、 ChronoPay 、 RobokassaおよびPayPal （支払いシステム）、およびOpenID 、 OpenAuth 、 OAuth （分散認証）。

安全な相互作用

それでは、「 安全な相互作用 」という言葉の意味を定義しましょう。



1. 認証 。 サーバーAがサーバーBにメッセージを送信するようにします。Bは、メッセージがAから送信されたことを確認できるはずです。このチェックは、サーバーB上のサーバーAの認証と呼ばれます。



2. データの整合性 。 転送中にメッセージが変更されていないことを確認する必要があります（たとえば、50ドルが支払われ、500ドルの確認が受信されました）。



3. 相互作用の機密性 。 この条項は、メッセージを受信する資格がある当事者のみを意味します。 原則として、この句は送信中の情報の暗号化を意味します 。



場合によっては、さらに2つのポイントを検討できます。アクセス権の検証と否認防止の不可能性ですが、今のところはこれを無視します。

暗号プリミティブ

ここでは、理論に余談をする必要があります。 暗号の基礎については詳しく説明しません（さもなければ、記事の量は妥当な範囲を超えます）が、記事のさらなる部分を理解するために必要な知識を示すために、主要な「 暗号プリミティブ 」について簡単に言及します。 興味のある方は、ウィキペディアへのリンクをたどって詳細をご覧ください。

• さまざまな対称暗号化システムがあります。 これらのシステムの基礎は、両当事者に知られている1つのキーKです。 このキーは、メッセージの暗号化と復号化の両方に使用されます。 標準の例： RC2 、 RC4 、 RC5 、 DES 、 3-DES 、 AES 、 Blowfish 、 GOST 28147-89など
• 非対称暗号化システムが存在します。 ここでは、それぞれの側に秘密鍵と公開鍵があります。 オープンは誰にも知られています（システムをハックしたい暗号解読者を含む）、秘密-片方だけに。 誰でもサイドAの公開鍵を使用して、サイドAのメッセージを暗号化できます。秘密鍵の所有者のみがこのメッセージを解読できます。これはAです。標準の例： RSA
• 原則として、公開鍵はいわゆる形式で配布されます。 証明書 一般的に、公開鍵は証明書の一部にすぎませんが、将来的にはこれらの用語を同義語として使用します。
• 通常、秘密鍵と公開鍵の同じペアを使用して、 デジタル署名 （CPU）を生成できます。 この場合、紙の文書に人の署名が存在するように、メッセージと秘密鍵に基づいて生成された電子メッセージの本文にデジタル署名が生成されます。 秘密鍵を使用せずに署名を生成することはできませんが、誰でも対応する公開鍵を使用して署名を検証できます。 このようにして、メッセージが必要なサーバーまたは人によって正確に送信され、「偽物」ではないことを確認できます。 プロトコル： RSA 、 DSA 、 ECDSA 、 GOST R 34.10-2001
• 2つのパーティーがそれをチャンネルの上に伝えないで共通のキーKを生成できるプロトコルがあります 。 プロトコルの例は、 Diffie-Hellman Key Exchange Protocol （以降、簡潔にするために単にDiffie-Hellman）、 SRPです。 たとえば、最初のものは現在人気のあるOpenIDシステムで使用されています。
• テキストを固定長のビットセットにマッピングするハッシュ関数があります。 同じハッシュを持つ2つのテキストを見つける作業は「非常に難しい」と考えられています。 例： MD5 （すでに「壊れている」）、 SHA-1 、 SHA-256 、 GOST R 34.11-94
• ハッシュメッセージ認証コード （HMAC）コードが存在します。 これはメッセージとキーの関数であり、出力で固定長のハッシュ文字列を提供します。 両側に秘密鍵Kがある場合は、対称暗号システムでデジタル署名を生成する方法としてHMAC機能を使用できます。これは、鍵を持つ2者のみがメッセージの署名を生成および検証できるためです。

SSL / TLSおよびHTTPS

「相互作用のセキュリティ」について言えば、合理的な（やや）質問をすることができます。このすべて：認証、整合性サポート、暗号化はSSL / TLS（HTTPS）にあります。 なぜ他の何かが必要なのですか？



したがって、理論への2番目の余談は、SSL / TLSおよびHTTPSが何であるかを簡単に思い出させることです。



SSL （ Secure Socket Layer ） プロトコルとその「子孫」 TLS （ Transport Layer Security ）は、安全なクライアントサーバー通信の必要性に応じて開発されました。 プロトコルはOSIモデルトランスポート層で動きます。 適切に使用すれば、クライアントとサーバー間の暗号化された接続を確立できます。 プロトコルは、両方向に送信されるメッセージの変更および読み取りから保護されます。 また、このプロトコルにより、クライアント（私は繰り返し使用しています）が、不正なサーバーではなく適切なサーバーとの接続を確立したことを確認できます（言い換えると、クライアントはサーバーを認証できます）。 クライアントへの認証を許可する、つまり双方向認証を提供する変更があります。



HTTPS （ HTTP Secure ）は同じHTTPですが、SSL / TLSで保護されたチャネルを介して送信されます。



不完全な実装にSSL / TLSチャネルが存在するということは、ポイントとリモートサーバー間の接続が、情報のリッスンと置換の観点から十分に保護されたプロトコルを通過することを意味するだけであることを理解することは非常に重要です。 しかし、これはリモート側がまさにあなたが連絡したかったものであると確信するまで何も意味しません。 これは、リモートパーティの証明書が事前に知られていて信頼している場合、またはセキュリティで保護されていないチャネルを介して「サードパーティ」と呼ばれる同じ証明書を受け取った場合にのみ確認できます 証明機関またはCA 同時に、署名を検証するために使用されるCA公開キーは、安全でないチャネルを介して送信される必要がないように、事前に知っておく必要があります。 たとえば、ブラウザでこのセキュリティをどのように確保していますか？ メインCAの証明書（最も有名なもの-COMODO、VeriSign、Go Daddy、Thawteなど、数十個しかない）は事前にブラウザに組み込まれています。



そして、あなたのサービスのコードで証明書を検証する方法は？ 事前に証明書をお持ちの場合、これを行うのは非常に簡単です（たとえば、PHPプログラマーはcurl_setopt （）、オプションCURLOPT_CAINFOおよびCURLOPT_CAPATHの方向を見ることができます）。 このようにして、WebMoneyサーバーとの相互作用コードで接続が保護されます。 事前にCAサーバーを知らない場合、さまざまなCAの証明書のコレクションを自分で選択して維持する必要があるため、実際にこのようなチェックを行うことはやや困難です。



実際には、コードでの証明書の検証は実行されないことが多く、 サーバーのなりすまし 攻撃または中間者（MITM）攻撃という2つの攻撃のいずれかにつながる可能性があります 。 後者は、ユーザー（A）と宛先サーバー（B）の間に別のサーバー（M）があることを意味します。 あなた（A）は、Bとの接続を確立したと考えて、Mとの完全に安全な接続を確立します。その後、MはBとの安全な接続を確立し、要求を彼とあなたに返します。 したがって、MはインタラクションA-Bをリッスンし、送信されたメッセージを修正することさえできます。



論理的な問題は、サーバースプーフィングと「中間者」の攻撃が実際にどれだけ実行可能かということです。



おそらく、相互作用するサーバーが両方とも深刻なデータセンターにある場合（そしてもちろんサーバー自体がハッキングされていない場合）、そのような攻撃の実装は非常に困難です。 サーバーが企業、大学、またはホームネットワーク（最適な方法で設計されていない）にある場合、 ARP攻撃により、攻撃者はネットワークを出入りするすべてのトラフィックを自分自身で完全に誘導でき、これらの攻撃はすべて非常になりますただ実行可能。



それで、なぜSSL / TLSに必ずしも満足していないのか。

• アプリケーションコードでのランダムサーバー認証の複雑さ。 その結果、「Man in the Middle」攻撃に対する保護なしで、プロトコルを部分的に使用します。
• 一方向認証（はい、双方向認証のためのプロトコル変更がありますが、これはあまり使用されず、すべてのプログラミング言語が既製のソリューションを簡単に見つけることができるわけではありません）。
• さらに、SSL / TLSアーキテクチャでは、送信者のデジタル署名付きのメッセージを保存することは許可されていないため、後でそれを使用して、メッセージが実際に作成者によって送信されたことを証明できます（つまり、非作成者に対する保護が機能しません）。

セキュリティを実践する

それでは、少しの間「 安全な相互作用 」に戻り、示したポイントが実際にどのように実装されているかを見てみましょう。



1. 認証には、通常、「ログイン-パスワード」ペア、または何らかの方法で生成されたデジタル署名を使用します。



2.アプリケーションによって生成されたSSL / TLSおよびデジタル署名は、 データの整合性を検証するために使用されます 。



3.データを暗号化するため、つまり機密性を確保するために、ほとんどのシステムはSSL / TLSを使用します（自己暗号化キーの例がありますが、データは「独自の」方法で暗号化されることは比較的まれです）。



Webサービスといえば、ほとんどの場合SSL / TLSがHTTPSとして使用されます。

保護されたアプリケーションの種類

最終的にプロトコルへの攻撃に移る前に、設計されたシステムが機能する制限について話す必要があります。 安全な相互作用の問題を考慮できる3つの主要なタイプのアプリケーションに言及したいと思います。



1. 相互作用する2つの当事者は、保証された安全なチャネルで必要な情報を事前交換する機会があります 。共有キー、証明書、パスワードなどです。 そのようなチャネルは、人々の間で必要な情報を直接送信すること（何よりも）、代替通信チャネル（モバイル通信、電話）、さらにはインターネットです。両当事者が「中間者」またはメッセージを傍受または変更する別の方法がないと確信している場合です。



2. 集中型アーキテクチャ 。 2者ごとに事前に合意する機会はありませんが、ネットワークメンバーは、相互作用する当事者の証明書に署名し、その有効性を保証する第三者を信頼します。 例としては、公開キー基盤（PKI）、またはいくつかの注意事項がありますが、ブラウザーが有限数の証明機関（CA）を信頼するのと同じインターネットであり、これに基づいて、適切なサイトと対話することを確認できます。



3. 分散アーキテクチャ 。 そのようなアプリケーションでは、単一のサードパーティはありません。 このようなアーキテクチャの主なタスクは、同じ人が2回目に来たことを確認することであることを理解することが重要です。 つまり、誰もが最初に認証できるようにするとき（たとえば、OpenIDをサポートするサイトでは、誰でも認証できます）。 さらに、システムに何らかの貢献をしたとします。たとえば、メッセージを書いたとします。 次回ここに来るとき、サイトはこのメッセージを編集するためのアクセス権をあなた（そしてあなただけ）に与える必要があります。 プロトコルの例：OpenID、OAuth、ピアツーピアプロトコル。

攻撃と防御

そして最後に、プロトコルで実行される主な種類の攻撃と、それらがプロトコルからどのように保護されるかを見てみましょう。



1.メッセージの作成者または信頼性の検証の欠如



古い冗談を思い出させてください。 プログラミングには、2種類のエラーがあります。入力データの検証不足とその他のエラーです。



サイドAからメッセージMを受信した場合、次のことを確認する必要があります。a）メッセージが実際にAから送信されたもの。 b）AがメッセージMを正確に送信し、途中で変更されなかったこと。



非識字者向けに設計されたプロトコルの例は、 Assist支払いシステムとオンラインストアとの相互作用のためのプロトコルです 。 Assistのサーバーで購入代金を支払った後、ユーザーはURL_RETURN_OKアドレスに戻ります。このアドレスは平文で送信され、ユーザー購入者が変更できます。 つまり、ユーザーはオンラインストアへの購入代金を支払った後に戻ってきて、「ありがとう、$ 1000の支払いをしただけです」と言いますが、ストアはこれが正しいことを確認する方法がまったくありません。 後になって、マネージャーの手によって、または自動的に（ただし、10分間に1回を超えないように！）、支払いが本当に通過したことを確認できます。 ちなみに、Assistのプロトコルは4年以上変更されていません。 そして、デジタル署名を追加するだけです。



したがって、メッセージの作成者と整合性を検証する方法。

• 秘密鍵と公開鍵のペアに基づいたデジタル署名を使用します。 これはおそらく最も信頼性が高く、汎用性の高い（つまり、あらゆる条件で動作する）方法です。 公開鍵は、事前に受信側に送信できます（今日のWebMoney 、 Cyber​​plat 、 OAuthなど、多くの人がこの方法を使用しています）。 また、公開キーは後で安全でない接続を介して取得し、証明機関（CA）証明書を使用して検証できます。 この方法は、大企業で使用される公開キー基盤（PKI）の機能の基礎となります。
• 共通鍵Kが生成されます。たとえば、 Diffie-Hellmanプロトコルなどに基づいて、メッセージの署名に使用されます（たとえば、 HMAC-SHA1を使用）。 OpenIDで使用されます。
• メッセージの整合性が重要ではなく、作成者の確認のみが重要な場合、「ログイン-パスワード」またはシークレット行のペアを使用して、保護されたリソースにアクセスすることがあります。 たとえば、 Flickrは 、ユーザー名とパスワードを含む要求に応じて、XML-RPCプロトコルを使用して写真を送信します。 reCAPTCHAシステムでは、ユーザーが入力したCAPTCHAコードを検証し、秘密の文字列で検証者を認証できます。 この方法は、単純ではありますが、メッセージの傍受によりパスワードが明らかになり、将来、攻撃者があなたに代わって自由にリクエストを送信できるという点で非常に悪いことを理解する必要があります。 デジタル署名を使用する場合、メッセージを傍受しても攻撃者は何もできません。
• メッセージ認証には、より簡単な（サーバーのなりすましや中間者に対する保護はありませんが）方法があります。 たとえば、 PayPalの 即時支払い通知 （IPN）プロトコルでは、サーバーが支払い確認を受け入れて、「 本当に送信しましたか？」という質問とともにメッセージのコピーをサーバーに送信する必要がありますか？ 同様の方法がOpenIDプロトコルで使用されますが（非推奨モードで作業している場合）、メッセージが返されるだけでなく、デジタル署名付きのメッセージが返され、リクエストは既に「 このデジタル署名を入れたかどうかを確認 」のように見えます 。 同様のスキームがOpenAuthで機能します 。 このアプローチの利点は、片側または両側に暗号化アルゴリズムを実装する必要がないことです。
• ロボカッサ は 、デジタル署名を生成する独自の方法を考案 しました。デジタル署名は、メッセージと秘密パスワードのMD5ハッシュ関数として形成されます。 この方法は、パスワードが十分に強力でなければならないという理由だけで、慎重に扱う必要があります。 パスワードが短い場合、さらにパスワードが人によって選択された場合、パスワードを解読することはハッカーにとって簡単な作業です。

2. HTTPSの信頼性を願っています。



前述のように、アプリケーションが接続する任意のサーバーのHTTPSプロトコル内での認証の実装は、かなり難しいタスクです。 上記で詳細を検証しましたが、簡単な結論は簡単です。サーバー証明書の認証なしで、HTTPSの意味をゼロに減らすことができます。



分散型の認証プロトコルはありません-OpenID、OpenAuth、OAuthは、サーバーのなりすまし攻撃や中間者から保護されています。 場合によっては、支払いシステム（PayPal、Assist）も同様の方法で攻撃される可能性があります。 その結果、実際には発生していませんが、支払いが発生したことをオンラインストアアプリケーションに納得させることができます。



HTTPS接続を確立するサーバーに主要なインターネットCA（VeriSign、COMODOなど）の十分な数の証明書があれば、この攻撃を保護できることを再度強調しますが、実際には実装が難しい場合があります。



そして私は、 分散システムの場合、これは根本的に不溶性の問題であることを強調します 。 私たちの分類（上記を参照）に属する商用支払いシステムでは、当事者が「 事前に同意する」 ことができるシステムに対応していますが、この攻撃は適切なプロトコル設計により防止されています。 そのような実装の例はWebMoneyです 。これは、HTTPS接続を認証するための証明書を提供します。 （ クロノパイもそれを行うようです -私を修正してください）。



3.「Man in the Middle」を攻撃します（Man in the Middle、MITM）。



HTTPSプロトコルのMITM攻撃を調べました。 ただし、他のプロトコルもこのタイプの攻撃に対して脆弱です。



この例は、OpenIDで使用されるDiffie-Hellmanです。 上記のように、その本質は、AとBの2つのパーティによる共有キーKの生成にあります。しかし、トラフィックを変更できる中間（M）がいる場合、AがMでキーを生成したことがわかります。 K1、およびB-Mと共有されるキーK2 その結果、「The Man in the Middle」は、あらゆる方向に向かうあらゆるデータに署名して読み取ることができます。



もちろん、クライアントとサーバー（OpenIDプロバイダーと証明書利用者）が完全な証明書検証を使用してHTTPS経由で通信する場合、OpenIDではこのような攻撃は機能しません。



4.オープンチャネルを介した秘密鍵の送信。



多くの開発者は、秘密鍵の本質を理解していません。 公開鍵を使用するインフラストラクチャのすべてのセキュリティは、相互作用する当事者が無条件に誰かを信頼できるという事実に基づいています。 2番目のサーバー、サードパーティ-それは重要ではありません。 原則として、「信頼」の問題は、メッセージ加入者の公開鍵を使用したデジタル署名の検証にかかっています。 この公開キー（証明書）が安全でないチャネルを介して送信され、途中で変更された場合、すべてのセキュリティがクラッシュする可能性があります。



「深刻な」企業には、このキーの転送、保管、更新を担当する特別な人がいます。 転送は通常、信頼できる宅配業者を通じてオフラインで行われます。



支払いシステム用のプロトコルを作成している場合、オフィスで契約書に署名するときに、サーバーの公開鍵をオンラインストアの所有者（ディスケットまたはフラッシュドライブ）に個人的に転送することが理想的です。 はい、何らかの理由で、これは常に実行可能ではありません。 したがって、多くの場合、証明書はインターネット経由で配布されます。 ただし、この場合、キーのなりすましを防ぐために、考えられるすべての対策を講じる必要があります。 電子メールでキーを送信することはできません。 HTTP経由でダウンロードすることはできません-HTTPSのみ。 サイトには、ダウンロードされた情報の確認に関する情報（たとえば、キーからのハッシュを使用してその信頼性を検証する）を含める必要があります。



5.リクエストを再送信します。



2つの例を使用して、このタイプの攻撃を検討します。



例1：支払いシステム。 立派なサーバーである私が、支払システムを通じて10ドルを送金したいとします。 同時に、HTTPまたは「不正な」HTTPS（証明書の検証なし）を使用して、支払いシステムサーバーに接続します。 正直にリクエストを作成し、証明書で署名します。 反対側がリクエストを受け取り、私の10ドルが受取人に送られます。 しかし、私はオープンプロトコルを使用していたため、攻撃者はサーバーへのリクエストを読み取ることができました。 この攻撃者が私を台無しにしたい場合、彼は同じリクエストを支払いシステムサーバーに再度送信します。 サーバーは署名を検証し（「正しい」サーバーによって形成されるため正しい）、他の$ 10がアカウントから引き落とされます。



例2：OpenIDプロトコル。 OpenID Authentication 1.1プロトコルには、次の脆弱性がありました。 攻撃者がOpenIDクライアント（Relying Party）とエンドユーザーの相互作用を聞いた場合、しばらくすると、OpenIDを使用してRelying Partyでこのユーザーの再認証を開始できます。 この場合、ユーザーがサイトを訪問したという記録が依存パーティのログに表示されます。 特に軽率な実装の場合、攻撃者はこのユーザーとして認証さえする可能性があります。 はい、これに対する保護方法がありますが、プロトコルで必須と宣言されていません。



この脆弱性はOpenID Authentication 2.0で修正され、サーバー（OpenIDプロバイダー）とクライアント（依存パーティ）の両方の動作に変更が加えられました。 OpenID認証プロトコルに精通している読者には、理解するためのタスクを提案します。サーバーを変更できない場合に、OpenIDクライアントバージョン1.1でそのような保護を実装する方法を教えてください。



このタイプの攻撃から保護するには、いくつかの方法があります。

• たとえば、 Cyber​​platでは、各リクエストに一意のセッション番号を挿入するよう顧客に要求しています。 この一意の番号は、単語nonce （Number used ONCE）とも呼ばれます。 同じセッション番号を持つ2つの要求、支払いシステムは処理を拒否します。 また、攻撃者はセッション番号を変更できません。これは、変更されたメッセージに対して正しいデジタル署名を生成する機会がないためです。
• また、リクエストに現在の時刻のラベルを挿入することにより、時間保護を使用することもできます。 「古い」リクエストは切断されます。
• OpenID 2.0は、これらの両方の方法を使用して、このタイプの攻撃から保護します。ノンスには、現在の時刻と（オプションで）ランダムな文字列が含まれます。

6.説明を完全なものにするために（時には忘れられることもあります）、当たり前のことも言及する価値があります。 システムがパスワードまたはキーのセキュリティに基づいて構築されている場合、このデータは確実に保護する必要があります。 共有ホスティング上のすべてのファイルにアクセスするためのUNIX権限07XXを設定すると、「サーバーネイバー」によって読み取られる「シークレット」が保存されているデータベースへの証明書ファイルまたはパスワードが作成される可能性があります。 パスワード、権限、アクセス制限の設定を忘れないでください。 しかし、誰もがこれを知っているので（誰もが知っているわけではありませんが）、私は長い間広めません。



7.別のタイプの脆弱性は、プロトコルを実装するときにプログラマーによって作成されたものです。 簡単な例を挙げましょう（幸いなことに、深刻な脆弱性ではありません）：2年前、OpenIDサーバーの5つの最も人気のある実装の2つで、開発者はlife_time（秒単位のキーの有効期間）とexpires_time（秒単位のキーの有効期限）の概念を混同しました1970年1月1日）。 コードの特に重要なセクションをプロジェクトの他の参加者が見ることができるようにすることが望ましいです（OK、これもありふれたものですか？-その後、結論に進みます）。

結論

この記事で伝えたかった主なアイデアは、著者が有名企業であっても、特定のプロトコルの開発者に依存しないことです。 自分で考え、自分で決めてください。



実践について少しだけでなく、記事の範囲を超えたものについても。

• 公開キー基盤（PKI）は、その規模（特に、プロトコルの数）で顕著なソリューションです。 これはおそらく、Twitterのブログ見出し用の自動クロスポストサービスを作成することを学ぶべきものではありません。 また、分散システムに関しては、おそらくここにいないでしょう。 ただし、この場合でも、一般的な用語を知っておくと便利です。 インターネットX.509公開鍵インフラストラクチャ：ロードマップから開始できます。
• また、今日では、Webサービス（主にSOAP上に​​構築）のセキュリティを確保するために、多数の標準が開発されています。 これについては多くの記事が取り上げられています。 （たとえば、 セキュリティで保護されたWebサービスは多くの関連リンクを収集しました。）したがって、ソリューションを開発する前に、既存の開発に慣れる価値があるかもしれません。