VeriSign Secure Siteについて、そのサイトとの通信がSSL通信中であれば、情報は暗号化され、第三者の盗聴、改ざん、成りすましなどから保護されるということ自体は理解できるのですが、具体的には、公開鍵方式による暗号化などのスキームを利用しているのでしょうか?
また、訪れたサイトが正規のVeriSign Secure Siteであることを確認するためにそのサイトのホームページのURLや「ステータス」が有効 (Valid) であることを確認する、というのは一体どういう意味があるのでしょう?
投稿日時 - 2003-01-10 13:40:41
質問者が選んだベストアンサー
#2です。
> まず、SSL方式では、サイトのユーザの情報(たとえばクレジットナンバー)は、上記の共通鍵にて暗号化し、サイト運営者の秘密鍵にて復号する、という理解で正しいでしょうか?
非常に単純化して話しますと、ユーザーが店舗に送信する情報は、まずユーザーが共通鍵を生成し、店舗の公開鍵で暗号化して店舗に送って共通鍵を共有します。そして、共通鍵を利用して情報の交換を行います。
公開鍵暗号方式は、共通鍵方式に比べると非常にパフォーマンスが悪いので、暗号したい通信文そのものではなく、鍵を暗号化する際に利用されます。
> 第2に、基本的なことかもしれず、お恥ずかしいのですが、ステータスの確認というのは、具体的にどうすればわかりますか?
参考URLのページの、ベリサインのシールをクリックしてみてください。検証結果を参照できます。
#このサイトの証明書は有効期限が切れているようですね(^^;
参考URL:http://online.plathome.co.jp/notice/order/payment/card2.phtml
投稿日時 - 2003-01-10 20:58:22
なるほどですね~。
ど素人なのものですから、単純化していただいても、まだ多分理解しませんが、相当に譲歩してご説明いただいことこは、非常によく理解できます。
ご回答いただく前よりは、格段に進化しました!
誠に、ありがとうございました。
投稿日時 - 2003-01-10 21:09:02
このQ&Aは役に立ちましたか?
2人が「このQ&Aが役に立った」と投票しています
ベストアンサー以外の回答(2件中 1~2件目)
ます、暗号化はSSLでされます。具体的には、一時的な情報と公開鍵とを組み合わせて、ランダムに生成した共通鍵の交換を行って、その鍵を利用して暗号化を行います。
改ざんですが、改ざんも出来ません。暗号を解読できれば改ざんは可能ですが、暗号を解読できなければ改ざんは不可能です。
適当にデータを壊すことは出来るかもしれませんが、情報を偽造するという意味での改ざんは、暗号を解読しない限りまず不可能です。
なりすましも出来ません。これは、SSLの暗号方式の中で、デジタル証明書を利用した公開鍵での認証を行いますので、その証明書の内容を偽ることはできません。
#自分で証明書を捏造すれば話は別ですが。
つまり、盗聴/改ざん/成りすましのすべてをSSLはカバーしています。
#正当に発行/管理された証明書を利用する限りにおいては、という条件がつきますが。
ステータスを確認するということは、そのサイトがVerisinが認める"まっとうな"サイトであるかどうかを確認するということを意味します。
例えば、誰かがVerisignの信頼性を悪用して、
"私のサイトはベリサインの認証を受けているので、安心して買い物してください"
と詐欺ECサイトにベリサインのSecureSealを貼って、その確認手段がなかったら、消費者はだまされてしまうかもしれませんよね。このために、確認する必要があるのです。
投稿日時 - 2003-01-10 19:07:12
非常に詳細なご説明をいただきまして、誠にありがとうございます。
大変よくわかりましたが、あと2点ほどご教授いただけないでしょうか?
まず、SSL方式では、サイトのユーザの情報(たとえばクレジットナンバー)は、上記の共通鍵にて暗号化し、サイト運営者の秘密鍵にて復号する、という理解で正しいでしょうか?
第2に、基本的なことかもしれず、お恥ずかしいのですが、ステータスの確認というのは、具体的にどうすればわかりますか?
投稿日時 - 2003-01-10 20:25:49
SSLは暗号化ですから、盗聴はできないですけど、改ざんと成りすましは別問題だと思います。
>公開鍵方式による暗号化などのスキームを利用しているのでしょうか?
その通りです。
公開カギを使った暗号化の認証局として代表的なのがVerisignです。
最後の質問は、何を言わんとしているか要点が見えないのですが、そのサイトが信頼できる(自分が見ようとしているサイトに間違いが無いか)を確認しなければ、暗号化の意味が無いと思いますけど?
投稿日時 - 2003-01-10 14:04:56
早速のご回答ありがとうございました。
投稿日時 - 2003-01-10 14:59:15
あなたにおすすめの質問
- パケットの盗聴って?? パケットの盗聴って??
- ベリサイン ベリサイン
- メールの暗号化 メールの暗号化
- ネット盗聴に対する暗号化って? ネット盗聴に対する暗号化って?
- ベリサインの個人用電子証明書について... ベリサインの個人用電子証明書について
- verisignのSSL証明書はどこ... verisignのSSL証明書はどこの国で購入するのが一番安いでしょうか?
- ベリサインについて ベリサインについて
- ベリサインについて ベリサインについて
- not a valid identi... not a valid identifier
- Aquaスキーム Aquaスキーム
