Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Debian tokyo-20150224-01

1 977 vues

Publié le

東京エリアDebian勉強会 講演資料 (2015年2月21日)

Publié dans : Périphériques & matériel
  • Soyez le premier à commenter

Debian tokyo-20150224-01

  1. 1. Gnukと私 今井 祐二(富士通研究所) 東京エリアDebian勉強会 2015/02/21 掲載内容は私自身の見解であり、 富士通グループを代表するものではありません
  2. 2. 話の流れ ● 私って、誰よ? – XCASTと私 – OSSコミュニティと私 ● SSH鍵をめぐる彷徨の日々 ● Gnuk紹介 – JANOG35資料より – Gnuk user ML: 最近の話題 ● デブサミ展示報告 ● PGP WoTと私 ● XCASTと私(別館)
  3. 3. 私って、誰よ? @alohaug – 年中アロハ (36着) – 粗忽な研究員 – 芸風: DevというよりはOpsに興味 新しく物を作るより、枯れた物の新しい切り口を探す。
  4. 4. XCASTと私 (eXplicit Multi-Unicast) ● IRCにハマって修論がやばかった ● MBoneへのあこがれ – グループアドレス宛先の経路コーディネーションが超大変。大規模放送志向。 – IRCっぽいオレオレMulticastがしたくてたまらない ● ネタ投入 – IPv6 Option Headerに、行き先UnicastアドレスをCcっぽく詰め込んで、Unicast経路で Ccするとマルチキャストっぽくない? – 会社の後輩が知らぬ間に、KAMEパッチを2Kくらい作っている ● WIDEに潜り込んで/32ほどアドレスをわけてもらう ● 各種BoF(BSDなひととき, JANOG)で呼びかけ、X6Boneを組む ● IETFに通ってExperimental RFCを書く – RFC5058 Explicit Multicast (Xcast) Concepts and Options
  5. 5. XCASTと私
  6. 6. OSSコミュニティと私 ● BSD系 – KAMEな人たち – DTCPな人たち(認証付き v4/v6トンネル生成) – Audio MIC/Video camera ドライバな人たち – 吹き出しな人たち – FreeSBIEな人たち(XCAST クライアントLive CD) ● 通称:えびふりゃぁCD ● Linux系 – USAGIな人たち – KNOPPIXな人たち (XCASTクライアント Live CD)
  7. 7. SSH鍵をめぐる彷徨の日々
  8. 8. やられた! ● 2000年のある日、 「君のPCは侵入されているので、切り離しました。」 「ところで、なぜ君のPCがそこにあるのかね?」 ● 鍵が…、 – どこにもいけない…。やられたかもしれない…。 ● やばい、やばすぎる。 – 自分が粗忽なので、自分がいちばん信用できない。 – 自分を「最もやばいOps」のリファレンスと考え、仕組みを考え よう。
  9. 9. 彷徨の日々 ① 鍵はUSBメモリに入れ、常時携帯 ② USBメモリは、諸処の事情で暗号機能つきに限定 (FreeBSD/Linuxは非対応。Windowsのみ。) ③ USBメモリ持ち出し禁止に規則改定 ④ USBメモリ保有者限定に運用厳格化 ⑤ 諸処の事情で、仮想デスクトップ導入 ● MyDocumentは、情シスの自動バックアップ対象に。 ● 秘密鍵の複製の管理に、自分以外が関与。
  10. 10. 聞けない日々 ● 自分が知らないだけで、秘密鍵の保管には定番お作法があ るのではないか? ● SSHのマニュアル・How-To・書籍を漁る – OpenSSH系は~/.ssh – Putty系は「安全なところに保管すべき」ばっかり ● 先輩は、友人、その筋の人に聴く – 「~/.sshで何か問題があるのか?」 – 優秀なハッカーは、ちゃんと保管できるから、粗忽な者の不安は わからない。(かなりグレる。)
  11. 11. 探し求める日々 ● スマートカードがあるじゃないか。 – OpenSSH 5.4 pkcs-11 support (OpenSSH 5.4: March 8, 2010) – Putty-SC, Putty-CAC, Kitty ● OSSごとの対応スマートカードは、入手困難 – スマートカード対応SSHは、愛があるDevが少なかった、のかな – だいたいヨーロッパ製、日本は配送対象外 – 動作確認情報があるカードは、次世代品に代替し販売中止になっている – 製造元に、OpenSSH対応を問合せても、情報皆無。ばりばりのプロプラ イエタリの壁。 ● 7本のカード・トークンを試して、全敗…。
  12. 12. 今井 祐二 株式会社富士通研究所/Gnuk-user-ML LT of JANOG35@静岡県立大学 GnukトークンでSSH Copyright 2015 FUJITSU LABORATORIES LTD http://no-passwd.net/fst-01-gnuk-handbook/ 掲載内容は私自身の見解であり、 富士通グループを代表するものではありません 12 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
  13. 13. Copyright 2015 FUJITSU LABORATORIES LTD 問いかけ ([janog:12624] こじま@株式会社イーツさん) > ISMS/ISO27001やPCI DSSなどの情報セキュリティでは > 共通アカウントの禁止や > パスワードの定期的な変更 などの要件がありますが、 > 機器のデフォルト設定では要件を満たさない場合がほとんどです。 > スイッチやルータなどの > ネットワーク機器のユーザ認証はどうされてますか? コメント (maz@IIJさん) > 研究用途に小規模なグループで使ってるルータだと、 > ユーザアカウント毎に SSH の公開鍵を登録して 公開鍵認証 を > 使ってるのがあります。 > 標準的なパスワード認証に比べると > 使い回しパスワードの呪いが無い 等、良い点もあります。 どうしてますか、ネット機器ユーザ認証? 13 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
  14. 14. SSH公開鍵認証は パスワードの呪いがない! 使い回しパスワード パスワード定期変更 Copyright 2015 FUJITSU LABORATORIES LTD 14 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
  15. 15. Copyright 2015 FUJITSU LABORATORIES LTD コメント (岡部@TEPCOさん) > 公開鍵方式sshの場合、 > 秘密鍵は電子ファイル形式で端末に保存するのが普通だと思います。 秘密鍵、どこに置いていますか? JANOGerの皆さん、id_rsa をどこに置いてますか? ①~/.ssh/ ②My Document ③USBメモリ ④言いたくない ⑤事情を察して… すごく心配でした。 操作ミスで秘密鍵を漏らしちゃう ウィルス・標的型攻撃 15 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
  16. 16. Copyright 2015 FUJITSU LABORATORIES LTD コメント (岡部@TEPCOさん) > 公開鍵方式sshの場合、 > 秘密鍵は電子ファイル形式で端末に保存するのが普通だと思います。 > 当方では、市販のUSBトークンに秘密鍵をインストールし、 > 二要素認証ができないか評価してみました。 > 結果として、ちゃんとできるものもありましたが、 > ネットワーク機器の機種、sshクライアントソフト、USBトークンの > 相性のため、可能な組み合わせは極めて限られている > のが現状です。 秘密鍵、どこに置いていますか? 16 ですよねー。自分もずっと探していたんです。 2013年の夏に、解決したので、 解決方法をJANOGで共有します。 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
  17. 17. Copyright 2015 FUJITSU LABORATORIES LTD  リーダと一体型のスマートカードUSBトークン  実験的だったGnuPGのスマートカード対応を、安定動作志向に修練 • g新部さん@FSIJ/飛石技術@OSS Fighter・職人気質 ソフトもハードも作っちゃった。  完全に自由でオープンな設計 • ハード設計図 … Creative Commons 3.0 • ファームウェア … GPLv3  オープンハードを支援する会社が製造販売  ssh-agent/pagent互換動作拡張、GnuPGエージェント  豊富なOpenSSH, Putty対応クライアントが As-Is で動作  Unix系: ssh, scp, git  Windows系 Putty, TeraTerm, WinSCP, 各種gitクライアント 誕生、Gnukトークン! 約1年、ファイルシステム上から秘密鍵ファイルを すべて消去して仕事・生活しています。(除くバックアップ) 17 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
  18. 18. Copyright 2015 FUJITSU LABORATORIES LTD  オープンな設計・規格で、複数サプライヤがソフト・ハードを供給  OpenPGP card spec, FST-01 Circuit Design & PGP ホワイトボックス型スマートカード・トークン みんなで使って、運用ノウハウを共有できたら、超嬉しい。 GnuPG+USB-Token+SSH、きてます!! Gnuk/FST-01 NitroKey Yubikey Developper Yutaka Niibe 飛石技術 Nitrokey German Privacy Foundation Yubico H/W design License CC BY 3.0 CC BY 3.0 - Farmware License GPLv3 GPLv3 GPLv2 OpenPGP Card RSA-2048, 4098 ECDSA, ECDH (NIST P- 256 & secp256k1), EdDSA RSA-2048, 4098 RSA-2048 GnuPG support ✔ (Linux, *BSD, Win, Mac) ✔ (Linux, *BSD, Win, Mac) ✔ (Linux, *BSD, Win, Mac) Supplier URL http://www.seeedstudio.com/ https://www.nitrokey.com/ https://www.yubico.com/ Price $ 35 ~ $ 59 ~ $ 50 ~ Other FIDO U2F OTP, Encrypted Storage FIDO U2F OTP 設計供給 18 GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
  19. 19. GnukトークンでSSH JANOG 35 Lightning Talk, 2015/01/15
  20. 20. 20 というわけで TokyoDebianでも聴いちゃいます。 id_rsaどこに置いてますか? ①~/.ssh/ ②My Document ③USBメモリ ④暗号付きUSBメモリ ⑤スマートカード・トークン ⑥言いたくない。 ⑦事情を察して…。
  21. 21. 21 その秘密鍵は狙われている。 ● 事例:銀行取引クライアント証明書搾取多発 – マルウェアがエクスポート不可の証明書を消去し、再発行されるタイ ミングで盗み見。 – – – – – – ● OSプロテクションのみでは、秘密鍵が守りきれない時代です。 ● 粗忽でない開発者も安心してはいけません。 「 法人向けインターネットバンキングの不正送金対策、しっかりできていますか? 」 (IPA 2014年8月の呼びかけ)よりhttp://www.ipa.go.jp/security/txt/2014/08outline.html
  22. 22. 22 gpg-agentによる Gnukとアプリケーションの仲介 Thunderbird は Mozilla Foundation の商標です。
  23. 23. 23 Gnukトークン入手方法 ① 自作 秋月でSTM開発ボード(750円~)を買って、工作。 ② 輸入 Seeed Studio(中国 深圳)が、公開された設計書を もとに製造。Web通販 $36ドル (送料込) Gnukインストール済 ③ g新部さん(飛石技術)から購入 4000円 + ドネーション
  24. 24. 24 Gnukトークン秘密鍵封入 ①GnuPGでRSA2048鍵ペアを生成 ②鍵を安全にバックアップ CD、紙にプリント できればRevoke鍵も生成・バックアップ ③ Gnukトークンに書込み PCに残っている秘密鍵は自動消去 ④GnukトークンにPINコード設定 くわしくはWebで! http://no-passwd.net/fst-01-gnuk-handbook
  25. 25. 25 GnukトークンでSSH ①ssh-agent / pagentの替わりにgpg-agentを立ち 上げ。 ②gpgkey2ssh でOpenSSH形式の公開鍵を取り出 し、接続先のauthorized_keysに追加 ssh-add -Lでも取得可能 ③普通にSSH • 初回のみPINコードを入力 普通すぎてなんの面白みもないほど、 あっけなく動く。
  26. 26. 26 Demo
  27. 27. 27 最近のGnuk user MLの話題 正しく鍵を作って封入する、クリーンなやり方は? New PGP key - again, but this time on a Gnuk ● https://webkeks.org/blog/?6a – ①Arch Linux Live CDでbootし、クリーンな環境を起動 – ②OpenPGPでtmpfs上に鍵生成 – ③CDにバックアップ – ④Gnukに封入 ● 結構、手作業あるね。(粗忽なOpsには無理手順…) ● Live CDでスタートアップキットもいいね。(g新部) エントロピー足りんかった。作りなおすわ。
  28. 28. 28 最近のGnuk user MLの話題 OpenPGP Cardスペック作りなおそうぜ ● 鍵増やそう。(今はEncrypt, Sign, Auth) ● 鍵ごとにPINかけたい ● PINパッドつけろや ● NFCつけろや ● バックアップさせろや ● ● キーホルダー用の穴が欲しい…。(今井) お前ら自由杉
  29. 29. 29 デブサミ展示報告 ● 新参者に快くブース出展させいただき、ありが とうございます。 ● チラシ38枚配布(50枚準備) – CC-BY-SA 3.0で配布中 – http://www.slideshare.net/YujiImai/gnuk-flyerosc2015 ● 来週のOSCもよろしくお願いします。
  30. 30. 30 主な質問 ● 鍵はどうやって作るの? → GnuPG ● SSH踏み台構成の時は? → Agent-forward ● このトークンを落としそう。 → バックアップ推奨 ● CPUは? → 32-bit ARM Cortex M3 @ 72MHz ● 改造できる? → FST-01は難しいかも。SWD端子は出ている。 ● ファームは書き換えられる? → Yes. 鍵は消える。 ● やべっ、今年度予算で発注するつもりなんだった。 → 買って。 ● TLSクライアント認証できる? → Scuteで開発中。 ● L2TPクライアント認証できる? → ぜひ作ってください。
  31. 31. 31 PGP WoTと私 ● 誰ともPGP キーサインしたことありません。 ● さも色々やってそうに語ってますが、ごめんなさい…。 ● sshしかしてないんです。 ● でも、普通のOpsはそんなもんですよ…。(言い訳) ● キーサインすると何が起こるかわかってないです。 特に「やらかした時」の対処。 ● Expireさせると、何をしなきゃいけないのか。 ● Revokeする正しいお作法とは。 ● パニックしているシチュエーションで、ツールのサポートなく、正しく 振舞えないポンコツOps。 ● でも、普通そうですよね…。
  32. 32. 32 URL ● Gnuk handbook 1.1 http://no-passwd.net/fst-01-gnuk-handbook/index.html ● Gnuk 1.1.1 の入ったFST-01を購入する(飛石 技術) http://www.gniibe.org/shop/gnuk_1_1_x-on-fst-01.html ● FST-01 Wiki http://www.seeedstudio.com/wiki/FST-01
  33. 33. 33 付録:OpenPGP Cardいろいろ ● OpenPGP Card準拠カードも色々あります。 – FSFE Fellowship Card ● Free Software Foundation EuropeのFellow会員証がOpenPGPスマートカー ド(同等品が、Kernel Concepts社から購入可能 13,90€) ● カードリーダーが別途必要 – Yubikey NEO($50) ● Yubico社のFIDO USBトークン ● 出荷時はOTPを自動入力モード ● Yubico社のGPLv3 Java appletがプレインストール。 Enableにすると、OpenPGP + USBカードリーダとして使える。 ● ファームはフリーソフト、ハードはプロプライエタリ – 暗号なんで、気になる人はとことん気になる世界…。 – 色々、お試し中…。 ● 入手容易性・可搬性・検証容易性・運用に対する考慮…。
  34. 34. XCASTと私 別館

×