Security Support Provider Interface

Security Support Provider Interface (SSPI) は、Microsoft Windowsにおいてセキュリティに関する様々な機能を提供するAPIである。

WindowsではSecurity Support Provider (SSP) と呼ばれるアプリケーションにセキュリティ機能を提供するダイナミックリンクライブラリ (DLL) が実装されており、SSPIはこれらSecurity Support Providerの共通インタフェースとして機能する^[1]。

Security Support Provider

[編集 ]

Windowsでは以下のSecurity Support Providerが提供されている。

NTLMSSP (英語版)(Windows NT 3.51より) (msv1_0.dll) - Windows 2000以前におけるクライアント-サーバドメインでのNTLM チャレンジアンドレスポンス認証と、非ドメイン認証 (SMB/CIFS)^[2]
Kerberos(Windows 2000より。Windows VistaでAESに対応^[3]) (kerberos.dll) - Windows 2000以降で推奨されるクライアント-サーバドメイン相互認証^[4]
Negotiate (英語版)(Windows 2000より)(secur32.dll) - ケルベロス認証とNTLM認証を選択する。Negotiate SSPによってシングルサインオン(統合Windows認証 (英語版)) が提供される^[5]。Windows 7以降では、クライアント・サーバの双方で利用可能なカスタムSSPを認証に利用できるようにするNEGOExtsが導入された。
Secure Channel (SChannel) (schannel.dll) - Windows 2000より導入され、Windows VistaからAESおよび楕円曲線暗号に対応した^[6]。TLS/SSLでの暗号化機能を提供する。
PCT (英語版)(廃止済)およびMicrosoft TLS/SSL実装 - TLS/SSLにおける公開鍵暗号機能を提供^[7]。Windows 7以降でTLS 1.2に対応
Digest SSP(Windows 2000より)(wdigest.dll) - HTTP認証およびSASLを提供^[8]
Credential (CredSSP)(Windows XP SP3より)(credssp.dll) - リモートデスクトップサービスのための認証機能を提供^[9]
Distributed Password Authentication (DPA) (Windows 2000より)(msapsspc.dll) - 公開鍵証明書による認証機能を提供^[10]
Public Key Cryptography User-to-User (PKU2U)(Windows 7より)(pku2u.dll) - ドメイン外のシステム間でのピアツーピア認証を提供

GSSAPIとの比較

[編集 ]

この節には独自研究が含まれているおそれがあります。 問題箇所を検証し出典を追加して、記事の改善にご協力ください。議論はノートを参照してください。(2023年5月)

SSPIは、GSSAPI (英語版)のプロプライエタリな変種であり、Windows独自のデータタイプや拡張が追加されている。

Windows NT 3.51およびWindows 95におけるNTLMSSPがその始まりであり、Windows 2000では、ケルベロス認証 (RFC 1964) が追加された。SSPIでのケルベロス認証で用いられるトークンはGSSAPIのものとほぼ互換性があり、WindowsのSSPIクライアントはWindows以外のGSSAPIクライアントと相互に認証を行うことが可能である。

IETFによって定義されたGSSAPIとWindowsのSSPIの間には、アクセストークンの "impersonation" に関して大きな違いが存在する。このモデルでは、クライアントが「完全な」特権を持っていれば、サーバはその特権により操作を行うことが可能である。すなわち、サービスアカウントの特権レベルは接続/認証されたクライアントに依存する。GSSAPIモデルでは、サーバがサービスアカウントで実行されている場合、アカウントの特権を上昇させることができず、すべてのアクセス制御を有効にする必要がある。このようなセキュリティ上問題のある実装は、WindowsのSSPIではVista以降で解消されている^[11]。

脚注

[編集 ]

^ "SSP Packages Provided by Microsoft". 2014年10月5日閲覧。
^ "User Authentication - Security (Windows 2000 Resource Kit Documentation) : MSDN". 2014年10月5日閲覧。
^ "Kerberos Enhancements in Windows Vista: MSDN". 2014年10月5日閲覧。
^ "Windows 2000 Kerberos Authentication". 2014年10月5日閲覧。
^ "Windows Authentication". 2014年10月5日閲覧。
^ "TLS/SSL Cryptographic Enhancements in Windows Vista". 2014年10月5日閲覧。
^ "Secure Channel: SSP Packages Provided by Microsoft". 2014年10月5日閲覧。
^ "Microsoft Digest SSP: SSP Packages provided by Microsoft". 2014年10月5日閲覧。
^ "Credential Security Service Provider and SSO for Terminal Services Logon". 2014年10月5日閲覧。
^ "DCOM Technical Overview: Security on the Internet". 2014年10月5日閲覧。
^ "Windows Service Hardening: AskPerf blog". 2014年10月5日閲覧。

外部リンク

[編集 ]

暗号化ソフトウェア

OpenPGP・S/MIME

セキュア通信

OTR (英語版)	Adium BitlBee (英語版) Centericq (英語版) ChatSecure climm (英語版) Jitsi Kopete MCabber (英語版) Profanity (英語版)
SSH	SSHクライアントの比較 (英語版) Dropbear lsh (英語版) OpenSSH PuTTY SecureCRT (英語版) WinSCP wolfSSH (英語版) RLogin Poderosa Tera Term
TLS/SSL	TLS実装の比較 Bouncy Castle (英語版) BoringSSL Botan cryptlib GnuTLS JSSE (英語版) LibreSSL MatrixSSL (英語版) NSS OpenSSL mbed TLS (英語版) RSA BSAFE (英語版) SChannel SSLeay stunnel wolfSSL
VPN	Check Point VPN-1 Hamachi Openswan OpenVPN SoftEther VPN strongSwan Tinc (英語版) WireGuard
ZRTP (英語版)	CSipSimple (英語版) Jitsi Linphone (英語版) Jami Zfone (英語版)
P2P	Bitmessage RetroShare (英語版) Tox ZeroNet
D R A (英語版)	Matrix OMEMO Conversations (英語版) Cryptocat (英語版) ChatSecure (英語版) Proteus Signalプロトコル Signal WhatsApp TextSecure (英語版)

Service providers

教育

CrypTool

暗号通貨

関連人物

エドワード・スノーデン
ローラ・ポイトラス(ドキュメンタリー作家)
グレン・グリーンウォルド(弁護士、当時ガーディアンに寄稿していたジャーナリスト)
バートン・ゲルマン (英語版)(ジャーナリスト)

カテゴリ カテゴリ
コモンズ コモンズ

表話編歴マイクロソフトのAPIとフレームワーク
グラフィック	Desktop Window Manager Direct2D Direct3D (拡張) GDI / GDI+ WPF Silverlight WinUI Windows Color System Windows Image Acquisition Windows Imaging Component
オーディオ	DirectMusic DirectSound DirectX plugin XACT Speech API
マルチメディア	DirectX (Media Objects Video Acceleration) DirectInput DirectPlay DirectShow Image Mastering API Managed DirectX Media Foundation XNA Windows Media Video for Windows
ウェブ	MSHTML EdgeHTML RSS Platform JScript VBScript BHO XDR SideBar Gadgets
データアクセス	Data Access Components Extensible Storage Engine ADO.NET ADO.NET Entity Framework Sync Framework Jet Engine MSXML OLE DB OPC
ネットワーク	Winsock (LSP) Winsock Kernel Filtering Platform Network Driver Interface Specification Windows Rally BITS P2P API MSMQ MS MPI
コミュニケーション	Messaging API Telephony API WCF
管理	Win32 console Windows Script Host WMI PowerShell Task Scheduler Offline Files Shadow Copy Windows Installer Error Reporting Event Log Common Log File System
コンポーネントモデル	COM COM+ ActiveX Distributed Component Object Model .NET Framework
ライブラリ	Base Class Library (BCL) Microsoft Foundation Classes (MFC) Active Template Library (ATL) Windows Template Library (WTL)
デバイスドライバ	Windows Driver Model Windows Driver Foundation KMDF UMDF WDDM NDIS UAA Broadcast Driver Architecture VxD
セキュリティ	Crypto API (CAPICOM) Windows CardSpace Data Protection API Security Support Provider Interface (SSPI)
.NET	ASP.NET ADO.NET Base Class Library (BCL) Remoting Silverlight TPL WCF WCS WPF WF
ソフトウェアファクトリー	EFx Factory Enterprise Library Composite UI CCF CSF
IPC	MSRPC Dynamic Data Exchange (DDE) Remoting WCF
アクセシビリティ	Active Accessibility UI Automation
テキストと多言語サポート	DirectWrite Text Services Framework Text Object Model Input method editor Language Interface Pack Multilingual User Interface Uniscribe
人工知能	DirectML
一覧カテゴリ:マイクロソフトのAPI

SSLとTLS

プロトコル

技術

歴史

実装

公証

脆弱性

理論	中間者攻撃パディングオラクル攻撃 Lucky Thirteen攻撃
暗号	バル・ミツワー攻撃 (英語版)
プロトコル	BEAST BREACH CRIME Logjam* POODLE(SSL 3.0)
実装	認証局危殆化 (英語版) 乱数発生器攻撃 (英語版) FREAK goto fail Heartbleed POODLE(TLS 1.0) カザフスタン政府による中間者攻撃

「https://ja.wikipedia.org/w/index.php?title=Security_Support_Provider_Interface&oldid=107038080」から取得