認証とは?
|
このWindows Q&Aは、Windows管理者の気になる疑問点にコンパクトかつタイムリーに答えることを目的としています。基本的に執筆された時点の状態を維持する通常の記事とは異なり、記載の情報に更新があった場合には、積極的に最新情報に更新していきます。 ソフトウェアの不正コピーを防止するために、マイクロソフトが開発したしくみ。英語名はMicrosoft Product Activationで、MPAと略記されたり、米国の一部のメディアでは、Windows Product Activationを略してWPAと呼んでいるものもあるようだ。日本語では「マイクロソフト・ライセンス認証」とか「マイクロソフト・プロダクト・アクティベーション」と表記される。ライセンス認証が初めて採用されたOffice XPや、それに続くWindows XPの操作メニューやヘルプなどでは「ライセンス認証」が使われているが、マイクロソフトのWebサイトでは「プロダクト・アクティベーション」が使われるなど混乱している。これらはいずれも同じものを指している。 製品の種類(Windows OSやOffice製品などのアプリケーション)や販売形態(パッケージか、OEM向けのプリインストールか、企業向けのボリューム・ライセンスか)によって細部の取り扱いは異なるが、基本的には、各ソフトウェア製品ごとに割り振ったユニークなID番号(プロダクトID)と、その製品がインストールされたコンピュータのハードウェア構成情報を、ソフトウェアのインストール時にマイクロソフトのセンターに通知して登録しておき(インターネット、または24時間受付の音声電話を利用)、後日、すでに登録されたプロダクトIDで、登録済みの構成とは異なるコンピュータ(つまり、以前にインストールしたものとは異なるコンピュータ)にインストールしようとしても、それを許可しないというしくみ。 マイクロソフトによれば、数あるソフトウェアの不正コピーのうち、影響が最も大きいのは、自分が持っているソフトウェアを気軽な気持ちで友人などにコピーする「カジュアル・コピー」だという。特に、高速ネットワークやCD-Rが普及した現在では、コピーにかかる手間や、メディア・コストなどが劇的に低下しており、このようなカジュアル・コピーのハードルがどんどん低くなっているのが実情である。しかしライセンス認証によって管理されているソフトウェアは、たとえインストールCDをコピーして第三者に渡したとしても、受け取ったユーザーはそれをインストールできなくなる。 ソフトウェアのインストール時の手順を追いながら、ライセンス認証のしくみを説明しよう。ここでは例としてWindows Windows XPのインストールを開始すると、インストール作業の最終段階でライセンス認証の処理が実行される。 インストールの最終段階で、ライセンス認証の処理が開始される。ここですぐにライセンス認証を実行してもよいし、認証処理を後回しにすることもできる。 インターネットを使って、いますぐライセンス認証を実行する。この方法でライセンス認証の処理を進めるには、インターネットにアクセスできなければならない。 音声電話を使ってライセンス認証を実行する。インターネットにアクセスできない場合には、この方法を使う。基本的なしくみはインターネットを使う場合と同じで、インターネットを使ってデータ交換を行う代わりに、音声電話を使ってオペレータと情報交換を行い、認証処理を進める。 いますぐにはライセンス認証は行わず、後回しにする。一定の期間は、ライセンンス認証を行わなくてもソフトウェアは使える。ただし期限を超えてもライセンス認証を行わないと、Windowsにログオンできなくなったり、ソフトウェアに機能制限が加えられたりする。 アクティベートせずに、あと何日利用できるかを示す情報。この期限を過ぎると通常どおりには利用できなくなる。 この場面ではまず、いますぐライセンス認証を行うか、ライセンス認証は後回しにしてインストール処理を続行するかのいずれかを選ぶ。ライセンス認証を後回しにしても、一定期間はソフトウェアを利用可能だが、期限をすぎると制限が加えられる(詳細は後述の「Q:アクティベートしないでソフトを使い続けるとどうなるのか?」を参照)。 すぐにライセンス認証を行う場合には、「インターネット経由で認証処理を行う」か、「音声電話を使って認証処理を行う」かのいずれかを選択する。いうまでもなく、コンピュータがインターネットに接続されているなら、前者の方法がはるかに簡単である。インターネットにアクセスできないコンピュータでは、音声電話を使うことになる(FAXの窓口はない)。この場合も、インターネットの代わりに情報交換を音声電話で行うだけで、基本的なライセンス認証のしくみは変わらない。ここでは、インターネットを使ったライセンス認証を例に手順を説明する。 全体の流れは次のようになる。以下ではこのフロー・チャートに従って説明していこう。図の左側(薄青)はライセンス認証を行うクライアント・コンピュータでの処理、右側(薄緑)はインターネット上に存在するマイクロソフトのライセンス認証センターでの処理を表している。 プロダクトIDとハードウェア・ハッシュの値をクライアント・コンピュータ側で収集し、これでセンター側のデータベースを検索する。未登録(つまり新規インストール)であるか、既登録でもハードウェア構成が大きく変更されていない場合(つまり同一コンピューへの再インストール)にはインストールを許可し、そうでなければ不許可を返す。 最初は、クライアント・コンピュータにおいて、各製品に表記されたプロダクトIDの情報が収集される。これは、インストール作業の初期にユーザーによって入力されている。そして次に、ハードウェア情報が収集される。この際には、マイクロプロセッサの種類やディスプレイ・アダプタ、ディスク・インターフェイス、ネットワーク・アダプタ、メモリ、リムーバブル・ストレージ(CD-ROM、CD-R、DVD-ROM)など、10種類のコンポーネントが調査され、これらの情報から8byteのハッシュ値が生成される(ハッシュ値の詳細については「Q:ハードウェアの情報を収集とは、具体的にどのようなものか?」を参照)。 収集されたプロダクトIDとハッシュ値からインストールIDが生成され、これがマイクロソフトのプロダクト認証センターに送られる(通信はSSLプロトコルを使って暗号化されている)。データを受け取ったセンター側では、送られたプロダクトIDとハードウェア・ハッシュ値でデータベースを検索し、すでに情報が登録されていないかを調査する。まだデータベースに登録されていなければ、初めてのインストールなので、情報をデータベースに登録し、アクティベート許可を返す(正確には、偽造を防止するためにデジタル署名された認証許可がクライアント側に戻される)。 情報がすでに登録されている場合は、(不正にコピーしたものでなければ)いったんインストールしたソフトウェアの再インストールだと考えられる。この場合には、ハードウェア・ハッシュの値を検査して、ハードウェア構成に大幅な変更がなければ(以前にインストールされたものと同一マシンと見なせるなら)、アクティベート許可を返す。大幅な変更があった場合には、エラーを返す。 以後クライアント側では、アクティベートが許可されればインストール処理が続行され、エラーならエラーを通知して処理を中断する。 XP、Windows XP(Professional/Home Edition)がある。またVisual Studio .NETでは、アカデミック版のみライセンス認証が必要になっている。今後マイクロソフトから販売されるものは、基本的にすべてのソフトウェア製品でライセンス認証が必要になるものと思われる。 SharePoint2007のMOSSのデータ管理を理解する (2007/11/15) SharePointのMOSSのデータ管理について解説。ドキュメントを管理するためのドキュメント・ライブラリの使い方を学ぶ 柔軟性と機能性を大幅に高めたIIS 7.0(前編) (2007/11/14) Windows Server 2008に標準搭載のIIS 7.0は、モジュール構造の採用や環境情報の一新などさまざまな改善を図っている 第99話 メールしたでしょ? (2007/11/13) がー、はっはっは! キミのところは何通だい? えっ? 30通くらい? そりゃ少ないねぇ。うちは毎日、ゆうに500通は超えてるかねぇ ホワイトペーパー利用者に「Amazonギフト券」を抽選で100名様にプレゼント!――TechTargetジャパン リニューアル・キャンペーン @ITトップ|Windows Server Insiderフォーラム トップ|会議室|利用規約|プライバシーポリシー|サイトマップ |
[ 132] Windows Q&A : マイクロソフト・ライセンス認証(1)
[引用サイト] http://www.atmarkit.co.jp/fwin2k/qanda/002wpa/wpa_01.html
|
認証行為は認証対象よって分類され、認証対象が人間である場合には相手認証(本人認証)、メッセージである場合にはメッセージ認証、時刻の場合には時刻認証と呼ぶ。 単に認証と言った場合には相手認証を指す場合が多い。 相手認証とはある人が他の人に自分が確かに本人であると納得させる事をいう。 A氏がB氏に自分が本当にAである事を証明するとき、BはAを認証すると言い、Aを被認証者、Bを認証者と呼ぶ。 被認証者、認証者の事を証明者(prover)、検証者(verifier)とも呼ぶ。(Aが本当にAである事を「証明」し、その証明が正しいかどうかをBが「検証」するので)。 認証者は被認証者の証明に納得した場合、認証者は被認証者の証明を「受理」(accept)したといい、そうでない場合は「棄却」(reject)したという。 資格認証とは、何らかのサービスを受ける際にその資格があるかどうかを確認する為に行われる認証行為の事である。 例えば選挙権がある事を保証する為に行ったり、コンピュータにログインする権限がある事を保証する為に行ったり、自動車の運転資格がある事(すなわち免許を持っている事)を保証する為に行ったりする。 属性認証とは被認証者の属性(年齢、性別等)の正当性を確認する為に行われ、例として酒や煙草を購入する際に成人であることを証明する認証行為(年齢認証)がある。 前述の選挙権がある事を保証する為の認証行為は、投票を行う資格がある事を証明する資格認証であるのと同時に、選挙権があるという属性を証明する属性認証でもある。 また相手認証はその方法によってCertification(サーティフィケーション)とAuthentication(オーセンティケーション)とに分類される。 Certificationは被認証者が認証場所に直接アクセスして行う認証の事で、 それに対しAuthenticationは被認証者が認証場所に直接アクセスする事無く遠隔地から電子的に受ける認証の事である。 なお、Certificationであっても認証者の方は認証場所に直接アクセスするとは限らない。(代わりに認証装置が認証を行う)。 何らかの道具(計算機、核爆弾等)・書類・施設(計算機室、企業のビル、軍事施設等)を利用・閲覧・入場する際、被認証者に利用・閲覧・入場の権限がある事を確認する。 Authenticationの事前準備。特にPKIにおける事前登録手続き。被認証者を何らかの電子データ(ID、パスワード、公開鍵、口座番号)を対応づける。 認証者は何らかの権限者(システム管理者、市役所の担当官)や、権限者の代行者(門番等)である事が多い。 (バイオメトリクス認証):本人固有の身体情報(指紋、虹彩等。バイオメトリクス情報という)を被認証者が認証者(もしくは認証装置)に伝える。 米国の核攻撃命令、日本の銀行オンライン取引(一部先進行)などでは、パスワードの代わりに乱数表を用いて認証を行う。例えば、「上から3段目の左から4文字目から、下に3数字読んで下さい」など。 Authenticationとは被認証者が認証場所に直接アクセスする事無く遠隔地から電子的に受ける認証の事である。 AuthenticationもCertificationと同じく何らかの道具・書類・施設を利用・閲覧・入場する際、被認証者に利用・閲覧・入場の権限がある事を確認する為に行う。しかしAuthenticationは電子的な行為なので、利用される道具や施設も電子的なもの(ウェブ・アプリケーション、リモート・サーバ)である。 Authenticationは何らかの電子データ(パスワードや公開鍵秘密鍵ペア)を用いて行われるので、事前に被認証者と電子データとを対応づけておく必要がある。 被認証者(の名前)と電子データとの対応関係が取れていないと、他人になりすまして電子データを使ったり、一人が複数の電子データを使って一人二役を行ったりという攻撃を防ぐ事ができなくなり、認証行為自身が全く意味を持たないものになってしまう。[1] このため、被認証者と電子データとの対応は確実に確保する必要がある。 対応づけはCertificationを通して行われる。 認証者は被認証者を事前にCertificationして本人性を確認し、それによって被認証者と電子データとを対応づける。 Authenticationを行う際には認証者は対応テーブルを見て電子データから被認証者の名前を逆引きし、被認証者が誰であるのかを特定する。 第一の方法は被認証者が認証者に対し秘密鍵を持っている事により得られるなんらかの能力の証明を行うかのいずれかを行う方法であり、第二の方法は、被認証者が認証者に、被認証者の公開鍵に対応する秘密鍵の知識の証明を行う方法である。 能力の証明を用いたAuthenticationで、代表的なものは電子署名を用いた方法である。まず認証者は乱数 r を選び、r を被認証者に送信する。被認証者は r を受け取ったら、r に対する電子署名 s を作成し、s を認証者に送信する。認証者は s が r の正しい署名であるか否かを確認する。s が r の正しい署名であれば認証者は証明を受理し、そうでなければ棄却する。 知識の証明を用いた認証方式には様々な方法があるが、最も有名な認証方式の一つはSchnorrが提案したSchnorr認証方式である。 メッセージ認証はメッセージの同一性の保証であり、コンピュータウイルス、不正侵入等を使った破壊行為によりメッセージが変更されていない事を保証する為の手続きをメッセージ認証という。メッセージ認証の代表的な方式はメッセージ認証子 (MAC) を用いたものである。 メッセージ m に対しそのハッシュ値 x = H(m) を計算し、x を(m よりセキュアな場所に)保管する。m が改竄されて別のメッセージ m’ になっていた場合、x ≠ H(m’) なのでメッセージが改竄された事が分かる。 時刻認証とはある物事が確かにその時刻にあった・起こった事を保証する為に行う認証行為の事である。 代表的な方法としてタイムスタンプを用いた方法がある。 法律上用いられる意味においては、ある行為または文書が正当な手続・方式でなされたことを公けの機関が証明することをいう。 国務大臣その他の官吏の任免、全権委任状および大使および公使の信任状、恩赦、批准書等については、天皇の認証を必要とし、かかる認証を受ける官職を特に認証官という(天皇の国事行為の一つ、日本国憲法第7条第5号)。 ^ 本人認証としては意味を持たないが、同一人物性の保証としては意味を持つ。例えばパスワード認証の場合、2回の認証を行った際、2回とも同じパスワードを使ったかどうかで2回の認証を受けたのが同一人物であるかどうかを確認できる。しかし認証者とパスワードとの対応を取らない限り、認証を受けたのが具体的には誰なのかは分からない。 |
[ 133] 認証 - Wikipedia
[引用サイト] http://ja.wikipedia.org/wiki/%E8%AA%8D%E8%A8%BC
