![Copyright 2015 FUJITSU LABORATORIES LTD
問いかけ ([janog:12624] こじま@株式会社イーツさん)
> ISMS/ISO27001やPCI?DSSなどの情報セキュリティでは
> 共通アカウントの禁止や
> パスワードの定期的な変更 などの要件がありますが、
> 機器のデフォルト設定では要件を満たさない場合がほとんどです。
> スイッチやルータなどの
> ネットワーク機器のユーザ認証はどうされてますか?
コメント (maz@IIJさん)
> 研究用途に小規模なグループで使ってるルータだと、
> ユーザアカウント毎に SSH の公開鍵を登録して 公開鍵認証 を
> 使ってるのがあります。
> 標準的なパスワード認証に比べると
> 使い回しパスワードの呪いが無い 等、良い点もあります。
どうしてますか、ネット機器ユーザ認証?
13
GnukトークンでSSH
JANOG 35 Lightning Talk, 2015/01/15](https://image.slidesharecdn.com/debian-tokyo-20150224-01-150223211632-conversion-gate02/85/Debian-tokyo-20150224-01-13-320.jpg)
Debian tokyo-20150224-01
- 2. 話の流れ ● 私って、誰よ? – 齿颁础厂罢と私 – OSSコミュニティと私 ● 厂厂贬键をめぐる彷徨の日々 ● Gnuk紹介 – JANOG35資料より – Gnuk user ML: 最近の話題 ● デブサミ展示報告 ● PGP WoTと私 ● 齿颁础厂罢と私(別館)
- 3. 私って、誰よ? @alohaug – 年中アロハ (36着) – 粗忽な研究員 – 芸風: DevというよりはOpsに興味 新しく物を作るより、枯れた物の新しい切り口を探す。
- 4. 齿颁础厂罢と私 (eXplicit Multi-Unicast) ● IRCにハマって修論がやばかった ● MBoneへのあこがれ – グループアドレス宛先の経路コーディネーションが超大変。大規模放送志向。 – IRCっぽいオレオレMulticastがしたくてたまらない ● ネタ投入 – IPv6 Option Headerに、行き先UnicastアドレスをCcっぽく詰め込んで、Unicast経路で Ccするとマルチキャストっぽくない? – 会社の後輩が知らぬ間に、KAMEパッチを2Kくらい作っている ● WIDEに潜り込んで/32ほどアドレスをわけてもらう ● 各種BoF(BSDなひととき, JANOG)で呼びかけ、X6Boneを組む ● IETFに通ってExperimental RFCを書く – RFC5058 Explicit Multicast (Xcast) Concepts and Options
- 5. 齿颁础厂罢と私
- 6. OSSコミュニティと私 ● BSD系 – KAMEな人たち – DTCPな人たち(認証付き v4/v6トンネル生成) – Audio MIC/Video camera ドライバな人たち – 吹き出しな人たち – FreeSBIEな人たち(XCAST クライアントLive CD) ● 通称:えびふりゃぁCD ● Linux系 – USAGIな人たち – KNOPPIXな人たち (XCASTクライアント Live CD)
- 8. やられた! ● 2000年のある日、 「君のPCは侵入されているので、切り離しました。」 「ところで、なぜ君のPCがそこにあるのかね?」 ● 鍵が…、 – どこにもいけない…。やられたかもしれない…。 ● やばい、やばすぎる。 – 自分が粗忽なので、自分がいちばん信用できない。 – 自分を「最もやばいOps」のリファレンスと考え、仕組みを考え よう。
- 9. 彷徨の日々 ① 鍵はUSBメモリに入れ、常時携帯 ② USBメモリは、諸処の事情で暗号機能つきに限定 (FreeBSD/Linuxは非対応。Windowsのみ。) ③ USBメモリ持ち出し禁止に規則改定 ④ USBメモリ保有者限定に運用厳格化 ⑤ 諸処の事情で、仮想デスクトップ導入 ● MyDocumentは、情シスの自動バックアップ対象に。 ● 秘密鍵の複製の管理に、自分以外が関与。
- 10. 聞けない日々 ● 自分が知らないだけで、秘密鍵の保管には定番お作法があ るのではないか? ● SSHのマニュアル?How-To?書籍を漁る – OpenSSH系は~/.ssh – Putty系は「安全なところに保管すべき」ばっかり ● 先輩は、友人、その筋の人に聴く – 「~/.sshで何か問題があるのか?」 – 優秀なハッカーは、ちゃんと保管できるから、粗忽な者の不安は わからない。(かなりグレる。)
- 11. 探し求める日々 ● スマートカードがあるじゃないか。 – OpenSSH 5.4 pkcs-11 support (OpenSSH 5.4: March 8, 2010) – Putty-SC, Putty-CAC, Kitty ● OSSごとの対応スマートカードは、入手困難 – スマートカード対応SSHは、愛があるDevが少なかった、のかな – だいたいヨーロッパ製、日本は配送対象外 – 動作確認情報があるカードは、次世代品に代替し販売中止になっている – 製造元に、OpenSSH対応を問合せても、情報皆無。ばりばりのプロプラ イエタリの壁。 ● 7本のカード?トークンを試して、全敗…。
- 12. 今井 祐二 株式会社富士通研究所/Gnuk-user-ML LT of JANOG35@静岡県立大学 GnukトークンでSSH Copyright 2015 FUJITSU LABORATORIES LTD http://no-passwd.net/fst-01-gnuk-handbook/ 掲載内容は私自身の見解であり、 富士通グループを代表するものではありません 12 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
- 13. Copyright 2015 FUJITSU LABORATORIES LTD 問いかけ ([janog:12624] こじま@株式会社イーツさん) > ISMS/ISO27001やPCI?DSSなどの情報セキュリティでは > 共通アカウントの禁止や > パスワードの定期的な変更 などの要件がありますが、 > 機器のデフォルト設定では要件を満たさない場合がほとんどです。 > スイッチやルータなどの > ネットワーク機器のユーザ認証はどうされてますか? コメント (maz@IIJさん) > 研究用途に小規模なグループで使ってるルータだと、 > ユーザアカウント毎に SSH の公開鍵を登録して 公開鍵認証 を > 使ってるのがあります。 > 標準的なパスワード認証に比べると > 使い回しパスワードの呪いが無い 等、良い点もあります。 どうしてますか、ネット機器ユーザ認証? 13 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
- 14. SSH公開鍵認証は パスワードの呪いがない! 使い回しパスワード パスワード定期変更 Copyright 2015 FUJITSU LABORATORIES LTD 14 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
- 15. Copyright 2015 FUJITSU LABORATORIES LTD コメント (岡部@TEPCOさん) > 公開鍵方式sshの場合、 > 秘密鍵は電子ファイル形式で端末に保存するのが普通だと思います。 秘密鍵、どこに置いていますか? JANOGerの皆さん、id_rsa をどこに置いてますか? ①~/.ssh/ ②My Document ③USBメモリ ④言いたくない ⑤事情を察して… すごく心配でした。 操作ミスで秘密鍵を漏らしちゃう ウィルス?標的型攻撃 15 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
- 16. Copyright 2015 FUJITSU LABORATORIES LTD コメント (岡部@TEPCOさん) > 公開鍵方式sshの場合、 > 秘密鍵は電子ファイル形式で端末に保存するのが普通だと思います。 > 当方では、市販のUSBトークンに秘密鍵をインストールし、 > 二要素認証ができないか評価してみました。 > 結果として、ちゃんとできるものもありましたが、 > ネットワーク機器の機種、sshクライアントソフト、USBトークンの > 相性のため、可能な組み合わせは極めて限られている > のが現状です。 秘密鍵、どこに置いていますか? 16 ですよねー。自分もずっと探していたんです。 2013年の夏に、解決したので、 解決方法をJANOGで共有します。 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
- 17. Copyright 2015 FUJITSU LABORATORIES LTD ? リーダと一体型のスマートカードUSBトークン ? 実験的だったGnuPGのスマートカード対応を、安定動作志向に修練 ? g新部さん@FSIJ/飛石技術@OSS Fighter?職人気質 ソフトもハードも作っちゃった。 ? 完全に自由でオープンな設計 ? ハード設計図 … Creative Commons 3.0 ? ファームウェア … GPLv3 ? オープンハードを支援する会社が製造販売 ? ssh-agent/pagent互換動作拡張、GnuPGエージェント ? 豊富なOpenSSH, Putty対応クライアントが As-Is で動作 ? Unix系: ssh, scp, git ? Windows系 Putty, TeraTerm, WinSCP, 各種gitクライアント 誕生、Gnukトークン! 約1年、ファイルシステム上から秘密鍵ファイルを すべて消去して仕事?生活しています。(除くバックアップ) 17 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
- 18. Copyright 2015 FUJITSU LABORATORIES LTD ? オープンな設計?規格で、複数サプライヤがソフト?ハードを供給 ? OpenPGP card spec, FST-01 Circuit Design & PGP ホワイトボックス型スマートカード?トークン みんなで使って、運用ノウハウを共有できたら、超嬉しい。 GnuPG+USB-Token+SSH、きてます!! Gnuk/FST-01 NitroKey Yubikey Developper Yutaka Niibe 飛石技術 Nitrokey German Privacy Foundation Yubico H/W design License CC BY 3.0 CC BY 3.0 - Farmware License GPLv3 GPLv3 GPLv2 OpenPGP Card RSA-2048, 4098 ECDSA, ECDH (NIST P- 256 & secp256k1), EdDSA RSA-2048, 4098 RSA-2048 GnuPG support ? (Linux, *BSD, Win, Mac) ? (Linux, *BSD, Win, Mac) ? (Linux, *BSD, Win, Mac) Supplier URL http://www.seeedstudio.com/ https://www.nitrokey.com/ https://www.yubico.com/ Price $ 35 ~ $ 59 ~ $ 50 ~ Other FIDO U2F OTP, Encrypted Storage FIDO U2F OTP 設計供給 18 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
- 19. GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
- 21. 21 その秘密鍵は狙われている。 ● 事例:銀行取引クライアント証明書搾取多発 – マルウェアがエクスポート不可の証明書を消去し、再発行されるタイ ミングで盗み見。 – – – – – – ● OSプロテクションのみでは、秘密鍵が守りきれない時代です。 ● 粗忽でない開発者も安心してはいけません。 「 法人向けインターネットバンキングの不正送金対策、しっかりできていますか? 」 (IPA 2014年8月の呼びかけ)より丑迟迟辫://飞飞飞.颈辫补.驳辞.箩辫/蝉别肠耻谤颈迟测/迟虫迟/2014/08辞耻迟濒颈苍别.丑迟尘濒
- 22. 22 gpg-agentによる Gnukとアプリケーションの仲介 Thunderbird は Mozilla Foundation の商標です。
- 23. 23 Gnukトークン入手方法 ① 自作 秋月でSTM開発ボード(750円~)を買って、工作。 ② 輸入 Seeed Studio(中国 深圳)が、公開された設計書を もとに製造。Web通販 $36ドル (送料込) Gnukインストール済 ③ g新部さん(飛石技術)から購入 4000円 + ドネーション
- 25. 25 GnukトークンでSSH ①ssh-agent / pagentの替わりにgpg-agentを立ち 上げ。 ②gpgkey2ssh でOpenSSH形式の公開鍵を取り出 し、接続先のauthorized_keysに追加 ssh-add -Lでも取得可能 ③普通にSSH ? 初回のみPINコードを入力 普通すぎてなんの面白みもないほど、 あっけなく動く。
- 26. 26 Demo
- 27. 27 最近のGnuk user MLの話題 正しく鍵を作って封入する、クリーンなやり方は? New PGP key - again, but this time on a Gnuk ● https://webkeks.org/blog/?6a – ①Arch Linux Live CDでbootし、クリーンな環境を起動 – ②OpenPGPでtmpfs上に鍵生成 – ③CDにバックアップ – ④Gnukに封入 ● 結構、手作業あるね。(粗忽なOpsには無理手順…) ● Live CDでスタートアップキットもいいね。(g新部) エントロピー足りんかった。作りなおすわ。
- 28. 28 最近のGnuk user MLの話題 OpenPGP Cardスペック作りなおそうぜ ● 鍵増やそう。(今はEncrypt, Sign, Auth) ● 鍵ごとにPINかけたい ● PINパッドつけろや ● NFCつけろや ● バックアップさせろや ● ● キーホルダー用の穴が欲しい…。(今井) お前ら自由杉
- 30. 30 主な質問 ● 鍵はどうやって作るの? → GnuPG ● SSH踏み台構成の時は? → Agent-forward ● このトークンを落としそう。 → バックアップ推奨 ● CPUは? → 32-bit ARM Cortex M3 @ 72MHz ● 改造できる? → FST-01は難しいかも。SWD端子は出ている。 ● ファームは書き換えられる? → Yes. 鍵は消える。 ● やべっ、今年度予算で発注するつもりなんだった。 → 買って。 ● TLSクライアント認証できる? → Scuteで開発中。 ● L2TPクライアント認証できる? → ぜひ作ってください。
- 31. 31 PGP WoTと私 ● 誰ともPGP キーサインしたことありません。 ● さも色々やってそうに語ってますが、ごめんなさい…。 ● sshしかしてないんです。 ● でも、普通のOpsはそんなもんですよ…。(言い訳) ● キーサインすると何が起こるかわかってないです。 特に「やらかした時」の対処。 ● Expireさせると、何をしなきゃいけないのか。 ● Revokeする正しいお作法とは。 ● パニックしているシチュエーションで、ツールのサポートなく、正しく 振舞えないポンコツOps。 ● でも、普通そうですよね…。
- 32. 32 URL ● Gnuk handbook 1.1 http://no-passwd.net/fst-01-gnuk-handbook/index.html ● Gnuk 1.1.1 の入ったFST-01を購入する(飛石 技術) http://www.gniibe.org/shop/gnuk_1_1_x-on-fst-01.html ● FST-01 Wiki http://www.seeedstudio.com/wiki/FST-01
- 33. 33 付録:OpenPGP Cardいろいろ ● OpenPGP Card準拠カードも色々あります。 – FSFE Fellowship Card ● Free Software Foundation EuropeのFellow会員証がOpenPGPスマートカー ド(同等品が、Kernel Concepts社から購入可能 13,90) ● カードリーダーが別途必要 – Yubikey NEO($50) ● Yubico社のFIDO USBトークン ● 出荷時はOTPを自動入力モード ● Yubico社のGPLv3 Java appletがプレインストール。 Enableにすると、OpenPGP + USBカードリーダとして使える。 ● ファームはフリーソフト、ハードはプロプライエタリ – 暗号なんで、気になる人はとことん気になる世界…。 – 色々、お試し中…。 ● 入手容易性?可搬性?検証容易性?運用に対する考慮…。
- 34. 齿颁础厂罢と私 別館