今日もアンクルデスっつーか、ハイドラントの戻りの練習。なんかとりあえず2回に1回ぐらいアンクルデスの体勢になれるようになったぞ。まだそこから戻れないから、それでおしまいだけど。
そして今日は左足をスプロケにがっつりぶつけて腫れあがった&週末ぶつけた右足を3回ぐらいペグにぶつけた。両足が痛いよorz...
つーわけで、次回の練習からしばらくシン・ガードすることにしよう。
SSHとかで鍵ペアを作るとパスフレーズを要求されるが、アレはなんのためかというと、秘密鍵を(ローカルに)保存する際に暗号化しておくためのもので、秘密鍵/公開鍵ペアとは直接の関係はない。金庫の鍵(秘密鍵)を別の金庫にしまっておくようなことをしているわけだ。
telnet、ftp等の認証用パスワードと秘密鍵のパスフレーズが決定的に違う点はここにある。telnetなりなんなりでパスワードを試行錯誤した場合、リモートのホストの管理がまともなら、必ずログイン失敗したログがリモートホストに落ちる。したがって、管理者が充分に注意深ければ、攻撃が行なわれていることを検知することができる。パスワード3回間違えたらアカウント・ロックとかってのはよくある仕様だし、そこそこまともなパスワードなら3回の試行錯誤で破られることは、まずありえない。
ところが、秘密鍵のパスフレーズは単に秘密鍵を暗号化しているだけのものにすぎないので、攻撃者は自分のマシンを遣って総当り攻撃でもなんでも、気が済むまでゆっくり試行錯誤することができる。秘密鍵の暗号化にはリモートホストは全く関係がない。なので、管理者は攻撃が行なわれていることを知るすべがない。
だから、それなりの権限を持ったアカウントの秘密鍵は絶対に秘密にしなければならない。そして、普通のパスワード同様に定期的に古い鍵ペアを失効させて、新しい鍵ペアに更新することが必要。そういう運用をして初めて、秘密鍵を暗号化していることが意味を持ってくる。攻撃者が正しいパスフレーズを見つけ出すのに必要な時間より短い間隔で鍵が更新されれば、秘密鍵を盗んでも実質は使えないからね。