無線のEAP-TLSについて
勉強さん
(No.1)
無線のEAP-TLSについて教えてください。
EAP-TLSはクライアント、サーバのお互いが持つ証明書に対して、上位の証明書を使って相互に検証すると思います。
この検証は具体的にどのような手順で行われるのでしょうか?
例えば、サーバがクライアント証明書の検証をする時についてです。
クライアント証明書が秘密鍵を使ってデータを暗号化し、暗号化前のデータと一緒に合わせてサーバへ送り、それに対して、サーバは公開鍵を使って暗号化後のデータを解読して、暗号化前のデータと一致するか確認することでクライアントが公開鍵の持ち主と判断していると想像していました。
しかし、左門さんのネスペ本を見ていると、EAP-TLSの通信には秘密鍵を持ったデジタル署名が必要ですと記載されており、ますます意味がわからないです..。(ネットで調べてもそのような記載はどこにもない。)
お詳しい方どなたかご教示いただけないでしょうかか?
EAP-TLSはクライアント、サーバのお互いが持つ証明書に対して、上位の証明書を使って相互に検証すると思います。
この検証は具体的にどのような手順で行われるのでしょうか?
例えば、サーバがクライアント証明書の検証をする時についてです。
クライアント証明書が秘密鍵を使ってデータを暗号化し、暗号化前のデータと一緒に合わせてサーバへ送り、それに対して、サーバは公開鍵を使って暗号化後のデータを解読して、暗号化前のデータと一致するか確認することでクライアントが公開鍵の持ち主と判断していると想像していました。
しかし、左門さんのネスペ本を見ていると、EAP-TLSの通信には秘密鍵を持ったデジタル署名が必要ですと記載されており、ますます意味がわからないです..。(ネットで調べてもそのような記載はどこにもない。)
お詳しい方どなたかご教示いただけないでしょうかか?
2024.04.05 20:07
ええこさん
(No.2)
EAP-TLSの共通鍵生成の流れまでをざっくりまとめてみました。
<クライアント証明書の準備>
① クライアントがキーセット(秘密鍵と公開鍵のペア)を作成
② クライアントが公開鍵をCA(認証局)に渡す
③ CAがクライアントの公開鍵に、CAの秘密鍵でデジタル署名(※1)を付加しクライアント証明書を発行
④ CAがクライアント証明書をクライアントに送付
(※1)ハッシュ化したクライアントの公開鍵を、CAの秘密鍵で暗号化。
<認証の実施>
① クライアントはクライアント証明書を認証サーバに送付
② 認証サーバはクライアント証明書のデジタル署名により正当性を確認(※2)
③ 正当性が確認できたら、認証サーバとクライアントはセキュアなチャネルを確立し、鍵交換プロトコル(例えば、Diffie-Hellman)を使用して共通鍵(セッション鍵)の生成を行う
(※2) (※1)をCAの公開鍵で復号したものと、クライアントの公開鍵をハッシュ化したものが一致していればOK
このようにCAのデジタル署名によって、認証サーバはクライアント証明書の正当性を確認しています。
ただEAP-TLSの流れはとても複雑なので、シーケンス図を確認されたほうがいいかなと思います。
<クライアント証明書の準備>
① クライアントがキーセット(秘密鍵と公開鍵のペア)を作成
② クライアントが公開鍵をCA(認証局)に渡す
③ CAがクライアントの公開鍵に、CAの秘密鍵でデジタル署名(※1)を付加しクライアント証明書を発行
④ CAがクライアント証明書をクライアントに送付
(※1)ハッシュ化したクライアントの公開鍵を、CAの秘密鍵で暗号化。
<認証の実施>
① クライアントはクライアント証明書を認証サーバに送付
② 認証サーバはクライアント証明書のデジタル署名により正当性を確認(※2)
③ 正当性が確認できたら、認証サーバとクライアントはセキュアなチャネルを確立し、鍵交換プロトコル(例えば、Diffie-Hellman)を使用して共通鍵(セッション鍵)の生成を行う
(※2) (※1)をCAの公開鍵で復号したものと、クライアントの公開鍵をハッシュ化したものが一致していればOK
このようにCAのデジタル署名によって、認証サーバはクライアント証明書の正当性を確認しています。
ただEAP-TLSの流れはとても複雑なので、シーケンス図を確認されたほうがいいかなと思います。
2024.04.05 23:44
勉強さん
(No.3)
細かな解説ありがとうございます。
証明書の署名値や署名アルゴリズムのことはよく知っていたのですが、そこで使われていたのですね。
頭の中の点と点が繋がって、すっきりしました。
EAP-TLSのシーケンスですが、ネットで調べてもなかなかお兄さんのような細かい解説は見つからず、今回ご質問をさせていただきました。
差し支えなければどのようなサイト、書籍を参考にされているのか教えていただけないでしょうか。
証明書の署名値や署名アルゴリズムのことはよく知っていたのですが、そこで使われていたのですね。
頭の中の点と点が繋がって、すっきりしました。
EAP-TLSのシーケンスですが、ネットで調べてもなかなかお兄さんのような細かい解説は見つからず、今回ご質問をさせていただきました。
差し支えなければどのようなサイト、書籍を参考にされているのか教えていただけないでしょうか。
2024.04.06 11:00
ええこさん
(No.4)
お役に立てたようで幸いです。
1つの資料で明確には分からないのでいくつかの資料を寄せ集めになりますが、以下のサイトが有用かと思います。
(直接URLが貼れないため、関連するキーワードを乗せておきます)
○SEの道標さん
・クライアント証明書(https,eap-tls)の仕組み
・よく分かるデジタル証明書(SSL証明書)の仕組み
○ネットワークエンジニアとしてさん
・IEEE802.1X認証 - EAP-TLSの構成、認証シーケンス
・SSL/TLSネゴシエーション
○RFC(公式仕様)
・RFC 5216 - The EAP-TLS Authentication Protocol 日本語訳
>差し支えなければどのようなサイト、書籍を参考にされているのか教えていただけないでしょうか。
1つの資料で明確には分からないのでいくつかの資料を寄せ集めになりますが、以下のサイトが有用かと思います。
(直接URLが貼れないため、関連するキーワードを乗せておきます)
○SEの道標さん
・クライアント証明書(https,eap-tls)の仕組み
・よく分かるデジタル証明書(SSL証明書)の仕組み
○ネットワークエンジニアとしてさん
・IEEE802.1X認証 - EAP-TLSの構成、認証シーケンス
・SSL/TLSネゴシエーション
○RFC(公式仕様)
・RFC 5216 - The EAP-TLS Authentication Protocol 日本語訳
2024.04.06 12:56
勉強さん
(No.5)
ありがとうございます。
早速各サイトを見てみます。
とても助かりました。
早速各サイトを見てみます。
とても助かりました。
2024.04.06 15:51
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。