Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JWT完全に理解しよう-公開鍵編-.pptx.pdf

4c179cd6250ba8459f278a1440d7f610?s=47 dach
June 24, 2021
Technology
0
340

 JWT完全に理解しよう-公開鍵編-.pptx.pdf

4c179cd6250ba8459f278a1440d7f610?s=128

dach

June 24, 2021
Tweet

More Decks by dach

See All by dach
プロジェクトマネージャーと炎の回避術
4c179cd6250ba8459f278a1440d7f610?s=48 dach
0
450
SLO_By_Google_Cloud_Monitoring
4c179cd6250ba8459f278a1440d7f610?s=48 dach
0
70
状態遷移テスト完全に理解しよう.pdf
4c179cd6250ba8459f278a1440d7f610?s=48 dach
0
500
JWT完全に理解しよう-認証編-.pptx.pdf
4c179cd6250ba8459f278a1440d7f610?s=48 dach
0
420
チームの垣根を越境する_チーム間交換留学
4c179cd6250ba8459f278a1440d7f610?s=48 dach
0
27
設計書のないサービスとの付き合い方.pptx.pdf
4c179cd6250ba8459f278a1440d7f610?s=48 dach
0
110
designからWebページを作るやりかた完全に理解した.pdf
4c179cd6250ba8459f278a1440d7f610?s=48 dach
1
170
チャレンジコーナー__DFDのモブプロ.pdf
4c179cd6250ba8459f278a1440d7f610?s=48 dach
1
1.1k
リモートde共につくる
4c179cd6250ba8459f278a1440d7f610?s=48 dach
0
460

Other Decks in Technology

See All in Technology
金融スタートアップの上場準備で大事にしたマインドセット / 2022-08-04-the-mindset-in-preparing-for-ipo
0251532f4fb413ea1a026efe6eb16b87?s=48 stajima
0
320
ロボットの実行すらメンドクサイ!?
3a06a93a8db01666fd2b822484930594?s=48 kou12092
0
220
Power BI のうらがわ
0cc2ebc5781bcb2cae5f9ab7efa40ff2?s=48 hanaseleb
1
160
CloudWatchアラームによるサービス継続のための監視入門 / Introduction to Monitoring for Service Continuity with CloudWatch Alarms
107ea34bd4da51e40f1c30b9ca0c459e?s=48 inomasosan
1
430
私のAWS愛を聞け! ~ここが好きだよStep Functions~ #devio2022
808ce3d41280c085f8bdc27dce7ea8fb?s=48 kongmingstrap
0
290
マルチテナントSaaSのカスタム要件に、 Auth0テナントを分割せず向き合う! / Multi tenant SaaS with Auth0
8e8410eb785755ae2cb485f85dbab6e8?s=48 hiroga
0
110
テスト自動化を最速で軌道に乗せるために
6f8c7b050e551df51ac90c013eee164f?s=48 nozomiito
0
140
ふりかえりの技術 / retrospectives
88f4e84b94fe07cddbd9e6479d689192?s=48 soudai
3
180
バッファープールが大きいMySQL v5.7でDROP DATABASEが詰まった原因と対策 / Causes and Remedies for DROP DATABASE Stuck in MySQL v5.7 with Large Buffer Pool
A3966f193f4bef226a0d3e3c1f728d7f?s=48 line_developers
PRO
4
830
テクニカルライティングの検定を受けてみた話 / "My Story About Taking the Technical Writing Exam
A3966f193f4bef226a0d3e3c1f728d7f?s=48 line_developers
PRO
1
220
サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来
E7f82c6db76f340b8ccc175d4330405b?s=48 sakon310
4
470
Microsoft Data Analytics trends : ”Lakehouse” , ”Data Mesh"
0d7a3b61c5c1f64a50136cf4bb5702b7?s=48 ryomaru0825
2
140

Featured

See All Featured
Side Projects
027d1ebf66cc039a0bd3b55eeadbe75d?s=48 sachag
450
37k
Product Roadmaps are Hard
7cbd3f5f922d798cc312eaf596de7ae6?s=48 iamctodd
35
6.9k
Atom: Resistance is Futile
7fa6101cd43067653cf4ac6c7ca54305?s=48 akmur
255
20k
Docker and Python
Ecdea9b9714877b86cee08458f085481?s=48 trallard
27
1.6k
A Modern Web Designer's Workflow
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
689
180k
The Language of Interfaces
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
148
21k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
651dcfe41723207fbb0aa044a4f7c07f?s=48 dotmariusz
100
6k
Making Projects Easy
C4de88ea47538e4594750e3861a341c8?s=48 brettharned
98
4.4k
jQuery: Nuts, Bolts and Bling
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
56
6.4k
Producing Creativity
Ae14cc4491ac334f9cd23f9f93b4305e?s=48 orderedlist
PRO
334
37k
How to name files
0a4f62e90c976eeb44d33add75cca5af?s=48 jennybc
40
63k
KATA
E9221b172e78e888355fa2fe4541b595?s=48 mclloyd
7
8.9k

Transcript

  1. JWT 完全に理解しよう ~公開鍵編~ @dach

  2. Why speak Today?

  3. Playback last Challenge corner JWT
 • 何ができるか:トークンを使ったセキュリティーの実現、自己完結型・安全 
 • 何故必要か:JSONを構造化できる、シンプルかつわかりやすくするため

    
 • どのような時につかうか:ユーザー認証、改竄の有無を確認するため、 
 • 初登場:
 • 開発者:
 • 特徴:
 ◦ 
 ◦ 
 
 出典:公式サイト


  4. どげんかせんといかん Thinking

  5. Today’s goal JWTを完全に理解する「為の技術を理解する」

  6. Who is me? EasyEasy icon チキン南蛮 VRM ID: @dach JOB:

    Eng (PM / カイゼン屋) Twitter: i-dach qiita: i-dach

  7. Learn JWT

  8. At First

  9. コンパクトな形式のJSONWeb Tokenは、ドット(.)で区切られた3つの部分で構成されています。 • ヘッダ • ペイロード • 署名 したがって、JWTは通常次のようになります。 xxxxx.yyyyy.zzzzz

    (公式サイトより) What's JWT structuer

  10. JSON Web Token(JWT)はオープンスタンダード(RFC 7519)であり、当事者間で情報をJSONオブジェクトとして安全に送信する ためのコンパクトで自己完結型の方法を定義しています。この情報はデジタル署名されているため、検証および信頼できます。JWT は、シークレット(HMACアルゴリズムを使用)またはRSAまたはECDSAを使用した公開鍵と秘密鍵のペアを使用して署名できま す。 (公式サイトより) What's JWT

    デジタル署名 Keywords シークレット RSA 公開鍵 / 秘密鍵

  11. How to use 承認: これは、JWTを使用するための最も一般的なシナリオです。ユーザーがログインすると、後続の各リクエストにはJWTが含まれ、 ユーザーはそのトークンで許可されているルート、サービス、およびリソースにアクセスできるようになります。シングルサインオン は、オーバーヘッドが小さく、さまざまなドメイン間で簡単に使用できるため、現在JWTを広く使用している機能です 情報交換: JSON Web

    Tokenは、当事者間で情報を安全に送信するための優れた方法です。JWTは、たとえば公開鍵と秘密鍵のペアを使用 して署名できるため、送信者が本人であると確信できます。さらに、署名はヘッダーとペイロードを使用して計算されるため、コンテン ツが改ざんされていないことを確認することもできます。 (公式サイトより) 承認 Keywords シングルサインオン

  12. デジタル署名 Keywords シークレット RSA 公開鍵 / 秘密鍵 承認 シングル サインオン

  13. デジタル署名 Keywords シークレット RSA 公開鍵 / 秘密鍵 承認 シングル サインオン

    this

  14. Next: Cryptography

  15. Do you understand "Cryptography"? 秘伝のタレを 継承をしたい...

  16. Do you understand "Cryptography"? 口頭 秘伝のタレは 「りんご」を入れる んや ええこと 聞いたわ!

  17. Do you understand "Cryptography"? 口頭 秘伝のタレは 「りんご」を入れる んや ええこと 聞いたわ!

  18. Do you understand "Cryptography"? 口頭 秘伝のタレは XXを入れるんや XXってなんやね ん!

  19. Other threats 盗聴 改ざん なりすまし 否認

  20. Once upon a time... 出典: wikipedia(スタキュレー暗号)

  21. Once upon a time... 出典: wikipedia(スキュタレー暗号) 棒 (鍵) 巻いた状態 (平文)

    巻く前 (暗号文)

  22. Symmetric cryptograpy

  23. Symmetric Cryptography 平文 暗号文 鍵 暗号アルゴリズム 鍵 暗号アルゴリズム 暗号文 平文

  24. What’s problem of Symmetric Cryptography ? 伝送 秘タ「ご 入ん 伝レり」

    れや のはん をる 鍵 これで完璧や 盗られても 問題ないで

  25. What’s problem of Symmetric Cryptography ? 伝送 秘タ「ご 入ん 伝レり」

    れや のはん をる この店長は スキュタレー暗号を使っ てるな 鍵 これだったらブルート フォースアタックで 楽勝や

  26. What’s problem of Symmetric Cryptography ? 伝送 秘タ「ご 入ん 伝レり」

    れや のはん をる この経路で鍵さえ盗 れば私の勝ち! 鍵

  27. Thinking 片方だけ渡せば ええんちゃう?

  28. What’s problem of Symmetric Cryptography ? 伝送 なんやこれ、怖っ 鍵 秘タ「ご

    入ん 伝レり」 れや のはん をる

  29. What’s problem of Symmetric Cryptography ? 伝送 鍵 秘タ「ご 入ん

    伝レり」 れや のはん をる 鍵もろたでーw

  30. Thinking どうすれば安全に鍵を 渡せるだろうか...

  31. Public-key cryptograpy

  32. Public-key Cryptography 平文 暗号文 公開鍵 暗号アルゴリズム 秘密鍵 暗号アルゴリズム 暗号文 平文

    鍵は2つとも 私が作ります 公開鍵

  33. How will it get better? 伝送② 秘タ「ご入ん 伝レり」れや のはんをる 公

    開 鍵 伝送① 秘 密 鍵 公 開 鍵 秘伝のタレは 「りんご」を入 れるんや 秘タ「ご入ん 伝レり」れや のはんをる

  34. How will it get better? 伝送② 秘タ「ご入ん 伝レり」れや のはんをる 公

    開 鍵 伝送① 秘 密 鍵 公 開 鍵 秘伝のタレは 「りんご」を入 れるんや 秘タ「ご入ん 伝レり」れや のはんをる 2つ盗れても ようわからんぞ

  35. RSA 平文 暗号文 公開鍵 E, N 平文 mod N 秘密鍵

    D, N 暗号文 mod N 暗号文 平文 E D 大きな素因数分解と等価

  36. Thinking 分析するのはしんど い... どうすればレシピがわ かる?

  37. man-in-the-middle attack 伝送② 秘タ「ご入ん 伝レり」れや のはんをる 公 開 鍵 伝送①

    秘 密 鍵 公 開 鍵 秘伝のタレは 「りんご」を入 れるんや 秘タ「ご入ん 伝レり」れや のはんをる 公開鍵GET! ぼくの 公開鍵

  38. man-in-the-middle attack 伝送② 秘タ「ご入ん 伝レり」れや のはんをる 公 開 鍵 伝送①

    秘 密 鍵 公 開 鍵 秘伝のタレは 「りんご」を入 れるんや 秘タ「ご入ん 伝レり」れや のはんをる これで自分の秘 密鍵で復号でき る!!

  39. man-in-the-middle attack 伝送② 秘タ「ご入ん 伝レり」れや のはんをる 公 開 鍵 伝送①

    秘 密 鍵 公 開 鍵 お前はクビだ お 前 は ク ビ だ ついでに嘘の情 報送ってやろw お 前 は ク ビ だ なんでや!!

  40. Thinking どうすれば盗られても 問題ない状態にできる のか...

  41. Authentication Next time

  42. Conclusion

  43. Conclusion • JWTを理解するには前提知識を理解しておく必要があるよ • 対称暗号は強固だけど鍵配送に問題があるよ • 公開鍵暗号だけだとman in the middleされたらバレちゃうよ

  44. Thanks