情報処理安全確保支援士の試験合格を目指し、毎週略語に重点を置いて取り上げます。
それでは、学習スタートです!
■SMTP-AUTH(Simple Mail Transfer Protocol Authentication)
SMTPにユーザ認証を追加した方式。
使用するためにはMTA(送信メールサーバ・中継メールサーバ)およびMUA(受信者のメールソフト)がSMTP-AUTHの方式に対応している必要がある。
認証機構はSASLに基づき、一般的にはCRAM-MD5の認証方式が使用される。
■SASL(Simple Authentication and Security Layer)
インターネットプロトコルにおける認証とデータセキュリティのためのフレームワーク。
SMTP、POP、IMAPなど、多くのプロトコルの認証をサポートしている。
認証の機構としては、GSSAPI、CRAM-MD5、DIGEST-MD5、OTPなど、多くの機構が定義されている。
■GSSAPI(Generic Security Services Application Program Interface)
安全な認証のための業界標準のプロトコルを利用できるAPI。
GSSAPIそのものはセキュリティ機能を提供しないが、数多くのライブラリにアクセスできる。
■MD5(Message Digest 5)
任意の長さの原文を基に128ビットのハッシュ値を生成するハッシュ関数。
ハッシュ値はメッセージダイジェストとも呼ばれる。
■CRAM-MD5(Challenge Response Authentication Mechanism-Message Digest 5)
一方のサーバが質問 (チャレンジ) を提示し、もう一方のサーバがその回答を行い認証する方式。
SMTP-AUTHにおいてはメールサーバから受け取った任意の文字列(チャレンジ)とパスワードから生成されたMD5のメッセージダイジェストをもとに認証を行う。
さらにセキュリティを強化した方式としてDIGEST-MD5がある。
DIGEST-MD5は辞書攻撃やブルートフォース攻撃への耐性を持ち、HMACによる暗号化などをサポートしている。
もう令和6年向けのテキストが出始めているようです。