新機能:セキュアなTLS接続

バージョン16.10.31以降、EIROKUはサーバとクライアント間の安全なTLS接続をサポートしています。しかし、TLSとは何ですか?それは物事をより安全にしますか?インストールするのはどれくらい難しいですか?サイバーセキュリティの問題はかなり複雑になりがちであり、一般に適格なITスペシャリストに任されています。しかし、最終的にすべてが簡素化され、一般の人々がアクセスできるようになり、進歩の性質があります。試してみて、TLS接続を少し良くしてみましょうか?

TLS接続がデータを保護するまず、少しの歴史。TLSの略Transport Layer Security、それはSSLの後継である- Secure Sockets Layer。1990年代初め、Netscape(Netscape Navigatorの作成を担当するアメリカの会社)は、侵入や盗聴からクライアントとサーバーの間の接続を保護する方法を考案しました。もともとその考えを思い描いたのは、博士タヘル・エルガマル博士(有名なエジプトの暗号学者)でした。要点はこれでした。クライアントとサーバーの両方が、接続するたびにデータを暗号化する独自の方法を持つ必要があります。このようにして、セッションが誰かによって傍受されたとしても、それは解読できないので、情報は安全です。これがTLS接続を非常に安全にする理由です。このすべては、デジタル証明書(またはセキュリティ証明書)という概念に基づいています。

 

セキュリティ証明書は信頼できる鍵です証明書とは何ですか?それを2つの部屋をつなぐドアのデジタルキーと考えてください。他のキーでこのドアを開けることはできず、ロックを選択することもできません。セキュリティ証明書は、通常、サーバーによって作成され、最初の対話中にクライアントに送信されます。クライアントはそれを確認または拒否します。この全体の手続きは、親切にハンドシェイキングと呼ばれています。これにより、サーバーとクライアントは、相互作用のための特定の "基本ルール"を受け入れます(例えば、1回限りのセッションキーを生成する方法)。その後、サードパーティの操作のリスクを伴わずにキーを使用してデータを暗号化および復号化します。ハンドシェークが失敗した場合、接続は確立されません。これにより、誰もクライアントやサーバーのどちらかを偽装して試して、特定の情報を明らかにするために相手を欺くことができなくなります。

 

TLS接続には有効なセキュリティ証明書が必要です最後に、すべてのセキュリティ証明書に署名が必要です。それ以外の場合は使用できません。理想的には、サーバーとクライアントの両方によって信頼される第三者(いわゆる「信頼できる第三者」)が署名する必要があります。これは、通常、CA - C ertificate Authority。サーバーが証明書に署名するには2通りの方法があります。実際のCAに適用すること(有料であるにもかかわらず、それらの不足はありません)または自分で署名すること(これらは「自己署名証明書」と呼ばれます)です。第2の選択肢は明らかにクライアントの方が危険ですが、マシンを操作している人がお互いに信頼できることを知っていれば問題はありません。このような証明書とハンドシェイクのシステムは、一般的なユーザーには動作していないにもかかわらず、ブラウザ経由で別のサーバーにアクセスする際に、Web上で常に使用されます。これは、最高のセキュリティが目に見えないものであるという点を証明するのに役立ちます。


EIROKUでこれを実際に使用することに焦点を当てることができます。まず最初に、サーバー上にセキュリティ証明書を生成する必要があります。そのための最善のソフトウェアはOpenSSL:https://www.openssl.org/source/ですが、Linuxベースのシステムでのみ安定した動作を提供するようです。(2018年8月現在はWindowsでも特に問題はない)

作成した証明書はどのシステムでも有効です。したがって、WindowsまたはMac OSを実行している場合は、Linuxを使用している友人にヘルプを依頼するか、仮想マシンを使用してLinuxにアクセスできます。これで証明書を生成するために端末で使用できるさまざまなコマンドがありますが、結果ファイルの名前がPublicCertificate.pemPrivateKey.pemまたはPublicCertificate.derおよびPrivateKey.derのいずれかであることを確認してください。最も簡単な方法は、このコマンドをコピー・ペーストすることです。

openssl req -x509 -sha256 -new -days 3650 -newkey rsa:2048 -nodes -out PublicCertificate.pem -keyout PrivateKey.pem -subj / C = Co / S = SN / L = Lo / O = Or / OU = OU / CN = CN "

これで、新しく生成されたファイルがOpenSSLディレクトリにあります:

残された唯一のことは、EIROKUのメインディレクトリ、EIROKU→セキュリティ→証明書に移動することです。

両方入れPublicCertificate.pemPrivateKey.pemをしてサーバー(彼らはすでに内のファイルを置き換えます)フォルダ。ので、予めご了承くださいPrivateKey.pemが特に重要であり、誰もあなた以外のそれへのアクセス権を持つべきではありません。そうしないと、セキュリティが損なわれる可能性があります。これで、すべてのクライアントがPublicCertificate.pemClientフォルダに配置する必要があり、セキュアな接続が保証されます。1つのクライアントで複数の異なるサーバーに異なる証明書を使用して接続する必要がある場合は、そのすべてをClientフォルダに置くことができます(名前PublicCertificate1.pemPublicCertificate2.pemなど)が、サーバー上の名前と一致することを確認してください)。