Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
JWT完全に理解しよう-公開鍵編-.pptx.pdf
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
dach
June 24, 2021
Technology
700
0
Share
JWT完全に理解しよう-公開鍵編-.pptx.pdf
dach
June 24, 2021
More Decks by dach
See All by dach
dbt_ベストプラクティス_完全に理解した.pdf
dach
2
1.1k
プロジェクトマネージャーと炎の回避術
dach
0
970
SLO_By_Google_Cloud_Monitoring
dach
0
210
状態遷移テスト完全に理解しよう.pdf
dach
0
860
JWT完全に理解しよう-認証編-.pptx.pdf
dach
0
790
チームの垣根を越境する_チーム間交換留学
dach
0
110
設計書のないサービスとの付き合い方.pptx.pdf
dach
0
200
designからWebページを作るやりかた完全に理解した.pdf
dach
1
370
チャレンジコーナー__DFDのモブプロ.pdf
dach
1
3k
Other Decks in Technology
See All in Technology
2026年、知っておくべき最新 サーバレスTips10選/serverless-10-tips
slsops
13
5k
AIエージェントの権限管理 2: データ基盤の Fine grained access control 編
ren8k
0
120
JEDAI in Osaka 2026イントロ
taka_aki
0
270
QGISプラグイン CMChangeDetector
naokimuroki
1
340
EBS暗号化に失敗してEC2が動かなくなった話
hamaguchimmm
2
170
[最強DB講義]推薦システム | 基礎編
recsyslab
PRO
1
150
AI時代のガードレールとしてのAPIガバナンス
nagix
0
200
LLM時代の検索アーキテクチャと技術的意思決定
shibuiwilliam
2
850
マルチプロダクトの信頼性を効率良く保っていくために
kworkdev
PRO
0
130
CDK Insightsで見る、AIによるCDKコード静的解析(+AI解析)
k_adachi_01
2
180
AI時代における技術的負債への取り組み
codenote
0
1.2k
60分で学ぶ最新Webフロントエンド
mizdra
PRO
33
18k
Featured
See All Featured
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
1
520
HDC tutorial
michielstock
2
620
Heart Work Chapter 1 - Part 1
lfama
PRO
5
35k
Deep Space Network (abreviated)
tonyrice
0
110
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
140
XXLCSS - How to scale CSS and keep your sanity
sugarenia
250
1.3M
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.2k
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.6k
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
210
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
330
Designing for Timeless Needs
cassininazir
0
190
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
730
Transcript
JWT 完全に理解しよう ~公開鍵編~ @dach
Why speak Today?
Playback last Challenge corner JWT • 何ができるか:トークンを使ったセキュリティーの実現、自己完結型・安全 • 何故必要か:JSONを構造化できる、シンプルかつわかりやすくするため
• どのような時につかうか:ユーザー認証、改竄の有無を確認するため、 • 初登場: • 開発者: • 特徴: ◦ ◦ 出典:公式サイト
どげんかせんといかん Thinking
Today’s goal JWTを完全に理解する「為の技術を理解する」
Who is me? EasyEasy icon チキン南蛮 VRM ID: @dach JOB:
Eng (PM / カイゼン屋) Twitter: i-dach qiita: i-dach
Learn JWT
At First
コンパクトな形式のJSONWeb Tokenは、ドット(.)で区切られた3つの部分で構成されています。 • ヘッダ • ペイロード • 署名 したがって、JWTは通常次のようになります。 xxxxx.yyyyy.zzzzz
(公式サイトより) What's JWT structuer
JSON Web Token(JWT)はオープンスタンダード(RFC 7519)であり、当事者間で情報をJSONオブジェクトとして安全に送信する ためのコンパクトで自己完結型の方法を定義しています。この情報はデジタル署名されているため、検証および信頼できます。JWT は、シークレット(HMACアルゴリズムを使用)またはRSAまたはECDSAを使用した公開鍵と秘密鍵のペアを使用して署名できま す。 (公式サイトより) What's JWT
デジタル署名 Keywords シークレット RSA 公開鍵 / 秘密鍵
How to use 承認: これは、JWTを使用するための最も一般的なシナリオです。ユーザーがログインすると、後続の各リクエストにはJWTが含まれ、 ユーザーはそのトークンで許可されているルート、サービス、およびリソースにアクセスできるようになります。シングルサインオン は、オーバーヘッドが小さく、さまざまなドメイン間で簡単に使用できるため、現在JWTを広く使用している機能です 情報交換: JSON Web
Tokenは、当事者間で情報を安全に送信するための優れた方法です。JWTは、たとえば公開鍵と秘密鍵のペアを使用 して署名できるため、送信者が本人であると確信できます。さらに、署名はヘッダーとペイロードを使用して計算されるため、コンテン ツが改ざんされていないことを確認することもできます。 (公式サイトより) 承認 Keywords シングルサインオン
デジタル署名 Keywords シークレット RSA 公開鍵 / 秘密鍵 承認 シングル サインオン
デジタル署名 Keywords シークレット RSA 公開鍵 / 秘密鍵 承認 シングル サインオン
this
Next: Cryptography
Do you understand "Cryptography"? 秘伝のタレを 継承をしたい...
Do you understand "Cryptography"? 口頭 秘伝のタレは 「りんご」を入れる んや ええこと 聞いたわ!
Do you understand "Cryptography"? 口頭 秘伝のタレは 「りんご」を入れる んや ええこと 聞いたわ!
Do you understand "Cryptography"? 口頭 秘伝のタレは XXを入れるんや XXってなんやね ん!
Other threats 盗聴 改ざん なりすまし 否認
Once upon a time... 出典: wikipedia(スタキュレー暗号)
Once upon a time... 出典: wikipedia(スキュタレー暗号) 棒 (鍵) 巻いた状態 (平文)
巻く前 (暗号文)
Symmetric cryptograpy
Symmetric Cryptography 平文 暗号文 鍵 暗号アルゴリズム 鍵 暗号アルゴリズム 暗号文 平文
What’s problem of Symmetric Cryptography ? 伝送 秘タ「ご 入ん 伝レり」
れや のはん をる 鍵 これで完璧や 盗られても 問題ないで
What’s problem of Symmetric Cryptography ? 伝送 秘タ「ご 入ん 伝レり」
れや のはん をる この店長は スキュタレー暗号を使っ てるな 鍵 これだったらブルート フォースアタックで 楽勝や
What’s problem of Symmetric Cryptography ? 伝送 秘タ「ご 入ん 伝レり」
れや のはん をる この経路で鍵さえ盗 れば私の勝ち! 鍵
Thinking 片方だけ渡せば ええんちゃう?
What’s problem of Symmetric Cryptography ? 伝送 なんやこれ、怖っ 鍵 秘タ「ご
入ん 伝レり」 れや のはん をる
What’s problem of Symmetric Cryptography ? 伝送 鍵 秘タ「ご 入ん
伝レり」 れや のはん をる 鍵もろたでーw
Thinking どうすれば安全に鍵を 渡せるだろうか...
Public-key cryptograpy
Public-key Cryptography 平文 暗号文 公開鍵 暗号アルゴリズム 秘密鍵 暗号アルゴリズム 暗号文 平文
鍵は2つとも 私が作ります 公開鍵
How will it get better? 伝送② 秘タ「ご入ん 伝レり」れや のはんをる 公
開 鍵 伝送① 秘 密 鍵 公 開 鍵 秘伝のタレは 「りんご」を入 れるんや 秘タ「ご入ん 伝レり」れや のはんをる
How will it get better? 伝送② 秘タ「ご入ん 伝レり」れや のはんをる 公
開 鍵 伝送① 秘 密 鍵 公 開 鍵 秘伝のタレは 「りんご」を入 れるんや 秘タ「ご入ん 伝レり」れや のはんをる 2つ盗れても ようわからんぞ
RSA 平文 暗号文 公開鍵 E, N 平文 mod N 秘密鍵
D, N 暗号文 mod N 暗号文 平文 E D 大きな素因数分解と等価
Thinking 分析するのはしんど い... どうすればレシピがわ かる?
man-in-the-middle attack 伝送② 秘タ「ご入ん 伝レり」れや のはんをる 公 開 鍵 伝送①
秘 密 鍵 公 開 鍵 秘伝のタレは 「りんご」を入 れるんや 秘タ「ご入ん 伝レり」れや のはんをる 公開鍵GET! ぼくの 公開鍵
man-in-the-middle attack 伝送② 秘タ「ご入ん 伝レり」れや のはんをる 公 開 鍵 伝送①
秘 密 鍵 公 開 鍵 秘伝のタレは 「りんご」を入 れるんや 秘タ「ご入ん 伝レり」れや のはんをる これで自分の秘 密鍵で復号でき る!!
man-in-the-middle attack 伝送② 秘タ「ご入ん 伝レり」れや のはんをる 公 開 鍵 伝送①
秘 密 鍵 公 開 鍵 お前はクビだ お 前 は ク ビ だ ついでに嘘の情 報送ってやろw お 前 は ク ビ だ なんでや!!
Thinking どうすれば盗られても 問題ない状態にできる のか...
Authentication Next time
Conclusion
Conclusion • JWTを理解するには前提知識を理解しておく必要があるよ • 対称暗号は強固だけど鍵配送に問題があるよ • 公開鍵暗号だけだとman in the middleされたらバレちゃうよ
Thanks
dach
slsops
ren8k
taka_aki
naokimuroki
hamaguchimmm
recsyslab
nagix
shibuiwilliam
kworkdev
k_adachi_01
codenote
mizdra
inesmontani
michielstock
lfama
tonyrice
greggifford
sugarenia
ivargrimstad
philnash
427marketing
katarinadahlin
cassininazir
baasie
