SSL (Secure Socket Layer)のシステムとしての安全性の考察

摘要

本論文では，SSL (Secure Socket Layer)の設計における安全性の考察を行い，ある状況で考慮すべき危険が存在することを示す．SSいこおける認証方式は，主に相互認証方式とサーバ認証方式があり，それぞれの方式とも安全な通信路を確立するためのセッション鍵の交換を行う．ここで，相互認証方式では，SSLサーバとユーザ双方が自身の秘密鍵を生成して，保持していなければならない．そのため，利便性よりサーバ認証方式も多用される．秘密鍵を生成して，保持していないユーザを認証する場合，サーバ認証方式を行い，その上で，交換したセッション鍵で暗号化したパスワードなどの認証情報を用いて認証する方式が用いられる．しかし，この方式を用いた場合，その認証情報の送信データの構造によっては，その認証情報が奪取される可能性がある．