Trust on first use

法律: IT 百科事典

Trust on first use

その他の用法については「Tofu(曖昧さ回避)」をご覧ください。

Trust On First Use (TOFU)または Trust Upon First Use (TUFU)とは、未知あるいはまだ信頼されていないエンドポイントと信頼関係を築く必要のあるクライアントソフトウェアによって用いられるセキュリティモデルである。TOFUモデルにおいて、クライアントは識別子、たいていはある種の公開鍵を、ローカルの信頼できるデータベース内で検索しようと試みる。そのエンドポイントに対する識別子がまだ存在していなかった場合、クライアントソフトウェアはクライアントがその識別子を信頼すべきかどうかユーザに決めさせるか、その識別子を単純に信頼し、その識別子を信頼できるデータベースの中に信頼できる関係として記録する。そのエンドポイントへのその後に続く接続で異なる識別子が受信された場合、クライアントソフトウェアはそれを信頼できないものとみなす。

TOFUの手法は、認証局のような信頼できるサードパーティーをもたない任意のまたは未知のエンドポイントと接続するときに利用されることがある。例えば、SSHプロトコルはクライアントが未知またはまだ信頼されていないエンドポイントと接続するときに初めてプロンプトを出すよう設計されている。その他のTOFUの実装としては、HTTP公開鍵ピニングに見られ、そこではブラウザは常にサーバから返される最初の公開鍵を受け入れ、HTTP Strict Transport Securityによりブラウザはその指示が持続する間はリダイレクションの指示に従う。

目次

1 モデルの長所と短所
2 その用語の最初の使用として知られているもの
3 その主題に関する関連する取り組み
4 それ以前の取り組み
5 関連項目
6 参考文献
7 外部リンク

モデルの長所と短所

TOFU型モデルのたった一つの最大の長所は、人間はあらゆる相互作用を最初に検証しなければならないということである。このモデルの一般的な適用はコンピュータ間のssh-rpc「bot」ユーザの使用であり、それにより、集中型のホストからの自動化されたアクセスのために、一連のコンピュータに対して公開鍵が割り当てられる。この適用方法におけるTOFU的な側面は、システム管理者(またはその他の信頼されたユーザ)に対して、最初の接続に基づいてリモート・サーバの識別情報を認証するようにさせる。

TOFU型モデルの最大の短所は、人間はあらゆる相互作用を最初に検証しなければならないということであり、それは無限に拡大することはないが、信頼された保護プロトコルを必要とするコンピュータを使用し、管理している人々の団体の能力を超える規模へと急激に拡大することがありうる。人々は検証なしに承認しがちであり、人的ミスの占める割合が増大していることは言うまでもない。

安全性と使用の拡張性との間の妥協案はXMPPクライアントConversationsの開発者であるDaniel Gultschによって提案されてきた。それはBlind Trust Before Verification[1]と呼ばれ、最初の接続で鍵を確認するのではなく、ユーザが手動のチェックを行い、鍵が変更された後に確認するというものである。

その用語の最初の使用として知られているもの

TOFUやTUFUの用語が正式に使われたもので最初に知られているのは、CMU研究者のDan WendlandtとDavid Andersen、Adrian Perrigによる研究報告「Perspectives: Improving SSH-Style Host Authentication With Multi-Path Probing」であり、2008年にUsenix Annual Technical Conferenceで発表された[2]。

Moxie Marlinspikeは、DEF CON 18 proceedingsのパネルディスカッション「An Open Letter, A Call to Action」の中で、Dan Kaminskyの意見に関連させて、PerspectivesとTOFUという言葉に言及した。ある聴衆からSSL/TLS PKIモデルに対するSSH公開鍵基盤(PKI)モデルの優位性をほのめかす意見が出され、それにMoxieが応じた:

聴衆:「... なので、私たちが(tls)PKIの認証モデルを嫌いといっても、例えばSSH PKIは好きで、まあまあうまく行っているようだし、実際、基本となることはつまり、誰かに自分のデータを渡すとき、データで彼らを信頼するということです。だから彼らの証明書を覚えておかなければならないのです。誰かほかの人が違うところで署名された異なる証明書を持ってやってきたら、彼らをまだ信頼しません。そして私たちがそういうふうにしたなら、それは多くの問題を解決して、----ある程度はならず者CAsの問題を解決するでしょう。最初のブートストラッピングの役には立たないでしょうが、最初のブートストラッピングは初期のモデルを使用し、それからsshモデルを使用したサイトとの引続きのやり取りに関しては、私たちが現在もっているものを超えた強さを持続させることを可能にするでしょう。そして、現在のモデルは、最初の承認に関してだけは引き続き再使用できます。このようにしませんか?」

Dan:「では、私は元SSH開発者なので、手早く進めさせて下さい。sshキー生成にエラーがあるそのたびに利用者はこう求められます。『この新しいキーを信頼するならyesをタイプして下さい』または『既知のhostsファイルを調べてその値を削除して下さい』と。最後には必ずそうすることになります。なぜならそれはいつもサーバの設定ミスによる間違いだからです。SSHモデルはいいのですが、拡大は出来ないのです」。

Moxie:「また、ちょっと付け加えると、話しているのはいわゆる『Trust on First Use』または『tofu』と呼ばれるもので、perspectivesという私の関わっているプロジェクトがあります。そのプロジェクトは純粋なSSHモデルよりも入り組んでいない形でそれを利用しようとするもので、本当に優れたプロジェクトだと思っています。CAシステムの代わりとなるものに関心があるなら、調べてみるとよいでしょう」。

その主題に関する関連する取り組み

・サーバ証明「指紋」ハッシュの視覚表示を作ろうとする取り組みはアスキーアートの形でOpenSSHの中に実装された。その意図は、ユーザが長い文字と数字の列の代わりに、視覚的に図像的表現を認識できるようにするというものである。最初の研究報告は、カーネギー・メロン大学のコンピュータ・サイエンス学部のAdrian PerringとDawn Songによって書かれた。

・「TUFU」という頭字語の考案者は「Perspectives Firefox Plug In」から思いついたと説明している。それはブラウザがHTTPSのウェブサイトに接続するときはいつでもネットワーク公証人に連絡することで、SSL/TLS PKIモデルを強化するよう設計されている。

それ以前の取り組み

信頼、認証、否認防止という話題は暗号理論とデジタル・セキュリティの分野におけるすべての活動の基礎である。

関連項目

情報技術の略語一覧

中間者攻撃日本語版

参考文献

1. Daniel Gultsch (November 20, 2016). "Blind Trust Before Verification" . Retrieved January 19, 2017.

2. http://www.usenix.org/events/usenix08/tech/full_papers/wendlandt/wendlandt_html/index.html

外部リンク

フリーの辞書WiktionaryでTOFUを見る。

"DEF CON 18 Schedule, Open Letter - Call to Action"

Firefox extension that contacts network notaries whenever your browser connects an HTTPS website

Hash Visualization in OpenSSH

 2017-07-09 19:19:20 / shikimi
原文サイトを表示
[ 原文 ] https://en.wikipedia.org/wiki/Trust_on_first_use
Creative Commons License この作品は、クリエイティブ・コモンズ・ライセンスの下でライセンスされています。
クリエイティブ・コモンズ・ライセンス