辞書攻撃防御機能

Infineon Security Platform

previous page next page

Infineon Security Platform ソリューション

辞書攻撃防御機能

注意:
  • このトピックは Trusted Platform Module 1.2 を搭載した Security Platform にのみ関連します。Security Platform 辞書攻撃防御機能の詳細は、Infineon Trusted Platform Module 1.2 を搭載した Security Platform にのみ有効です。
  • このトピックは主に Security Platform 所有者を対象としています。

Security Platform ソリューションは、以下の方法で、辞書攻撃を撃退します:

  • 多数の認証エラーがあった場合、次にシステムが再起動されるまで、Security Platform は一時的に無効になります。これにより、Security Platform を再び有効にするまでに、Security Platform 所有者は攻撃に対して追加の措置をとることができます。
  • さらに、ロック アウト時間が有効になります: その後の認証試行は一定時間拒否されます。その後は認証エラーごとに防御レベルは上がり、ロック アウト時間は倍になります。
  • もしその後一定時間内に認証エラーがない場合、防御レベルは再び下がります。
  • Security Platform 所有者は防御レベルをリセットすることができます。

次の図は方法を示しています。

認証エラーが繰り返し行われると、防御レベルが上がります

この図は、Security Platform が一時的に無効にならない場合、認証エラーによって、どのように防御レベルが上昇し、ロック アウト時間が長くなるかを示しています。

防御
レベル
  ロック アウト時間
  時間 
               認証エラー

この例では、防御しきい値は 5 度目の認証エラーです。攻撃者が連続して認証を試みています。すなわち、現在のロック アウト時間を超えるとすぐに、防御レベルが上昇します。

一時的に Security Platform を無効にすることで、防御レベルの上昇を避けます

早い段階でのさらなる攻撃を防ぎ、長時間のロック アウトを避けるために、防御しきい値を超えるとすぐに、Security Platform が一時的に無効になります。

防御
レベル
   
  ロック アウト    一時的に無効
  時間 
               認証エラー

この例では、ロック アウト時間を超えても、Security Platform は二度と攻撃されません。次にシステムが再起動された後のみ、 Security Platform は有効になります。

防御レベルの自動低下

この図は、一定時間の後、認証エラーがない場合に、再び防御レベルが低下することを示しています。

防御
レベル
自動低下時間
      時間
  認証エラー 自動低下

この例では、認証エラーによって防御レベルが上昇したことと、ロック アウト時間 () が発生したことを示しています。短期間の後、システムが再起動されると仮定します (灰色)。自動低下時間が経つと、防御レベルは自動的に低下します。低い防御レベルでは、自動低下時間はロック アウト時間よりも長くなります。

注意:
  • 自動低下時間は、ロック アウト時間及びシステムの再起動とは無関係です。
  • 自動低下時間は、システム再起動を要求しません。
  • 低い防御レベルでは、自動低下時間はロック アウト時間よりも長くなります。

防御レベル リセット

この図は、Security Platform 所有者によって防御レベル リセットが実行されたことを示しています。

防御
レベル
 
      時間
認証エラー リセット

先の図同様に、防御レベルの上昇とロック アウト時間 ()、次の再起動まで一時的に無効なシステム (灰色) が示されています。ここでは Security Platform 所有者が、上昇する防御レベルの自動低下を待てないため、防御レベルをリセットすると仮定しています。

標準的な辞書攻撃防御パラメータ

次の表では、Infineon Trusted Platform Module の標準的な辞書攻撃防御パラメータを示しています。表示の値はお使いの Trusted Platform Module によって異なります。

キー認証の許容エラー回数 (例: Security Platform ユーザー認証)

 5 6 時間以内での 5 回のエラー後、辞書攻撃防御が作動します (辞書攻撃しきい値の設定辞書攻撃防御機能の設定を参照)。

Security Platform 所有者認証の許容エラー回数

 3 6 時間以内での 3 回のエラー後、辞書攻撃防御が作動します (辞書攻撃しきい値の設定辞書攻撃防御機能の設定を参照)。

データ認証の許容エラー回数 (例: Windows BitLocker を PIN と共に使用した場合)

 10 6 時間以内で 10 回のエラーの後、辞書攻撃防御が作動します (辞書攻撃しきい値の設定辞書攻撃防御機能の設定を参照)。

最小ロック アウト時間

 ~10 秒 しきい値を越えた後の初期のロック アウト時間は、10 秒間です。

最大ロック アウト時間

 ~24 時間 最大ロック アウト時間は 24 時間です。しきい値を越えた後の認証エラーが 15 回未満で、この限界に達します。

防御レベル自動低下時間

 ~6 時間 ある防御レベルに達してから 6 時間後に、防御レベルは自動的に 1 ずつ低下します。
これは 6 時間以内に認証エラーがない場合に適用されます。防御レベルを 1 ずつ下げます。

これらの設定により、実際の辞書攻撃の際に、高いセキュリティ レベルとなります。一方で、誤って不正確なパスワードを入力した場合は、分かり易く柔軟な方法で扱うことができます。

ロック アウト時間減少と防御レベル自動低下は、稼動中のシステム上でのみ行われます。


©Infineon Technologies AG

previous page start next page