システムアーキテクト 勉強1 セキュリティ

ここのところ、技術ブログの更新が滞っていたので、ここらで久々に更新してみようと思う。
勉強したいこと(というより、する必要があるもの)はSpringBootやAngularなど山ほどあるけど、ここ1ヶ月は来月のシステムアーキテクト 試験に備えたものを中心にしようと思う。
というわけで、今回はセキュリティ分野でも特に色々なものがあって紛らわしくなりそうな暗号技術を中心に。この辺は午前対策で。

・共通鍵暗号方式
暗号化と復号化に同じ鍵を用いるやつ。n人の利用者が使う場合、各利用者は(n-1)個の鍵を管理し、システム中にはn (n-1) / 2個の鍵が存在する。
代表例
・DES(Data Encryption Standard) 56ビットの共通鍵を用いる。
・AES(Advanced Encryption Standard) Advancedという通り、↑の後継で、ブロック長は128ビット、鍵長は128ビット・192ビット・256ビットの3つが利用できる。
・RC ストリーム暗号(平文をビット単位あるいはバイト単位などで逐次暗号化)で、RC4, RC5, RC6などがある。

・公開鍵暗号方式
暗号化と復号化にペアになった異なる鍵を用いる。
情報漏洩対策に使う→受信者が公開している鍵で暗号化し、受信者の秘密鍵で復号化。
送信者認証に使う→受信者の秘密鍵で暗号化し、送信者の公開鍵で復号化。
代表例
・ElGamal 離散対数暗号を用いた公開鍵暗号方式
・RSA とても大きな2つの素数の積の素因数分解が困難なことを用いた暗号。RSAは人の名前(リベスト、シャリア、エーデルマン)の略。
・楕円曲線暗号 楕円曲線状の特殊な演算を用いて暗号化

・ディジタル署名、認証局
送信者の秘密鍵で暗号化し、送信者の公開鍵で復号化することで送信者本人であることを証明する。
送信者の公開鍵の正当性を証明するのにPKI(Public Key Infrastructure 公開鍵基盤)が用いられるが、認証局(CA : Certificate Authority)によるディタル証明書が含まれている必要がある。
有効期間中に失効したディジタル証明書の一覧をCPL(Certificate Revocation List : 証明書失効リスト)という。
メッセージダイジェスト(送信平文をMD5などで圧縮したもの)を用いて送信者の確認と改ざん有無を同時に行える。

とまあ駆け足でまとめてみた。この辺の問題は高度試験の午後2で毎回大体1問くらい出ているので、きっちり押さえたいところですね。

Spring Boot入門その1

この記事で書いたように、昨年までPHPのWebフレームワークLaravelを使っていましたが、今年の4月に入った会社ではJavaのSpring Bootを用いて開発を行っています。
WEB+DB PRESS106号でSpring Bootの記事でタスク管理サービスとQiitaのクロール&配信サービスを作るというのがあったので、とりあえずタスク管理サービスをの方をやってみました。
今回WEB+DB PRESSの記事をまねて作ったソースコードはこちらにあります。今後色々と改良していく予定です。
ちなみに、完成品(?)はこんな感じです。

1.Spring Bootとは
2003年にSpring FrameworkというJavaのWebフレームワークが作られて、それを使いやすくしたものとして2014年に作られたのがSpring Bootです。
DI(依存性の注入)の考え方を用いているのが特徴です。

2. Spring Bootで開発を行うために必要なもの

OpenJDK(フレームワーク以前にJavaで開発をやるんなら当然必要でしょう。バージョンは今時の機能を使うんなら最低でも8以上は必要かと)
Spring Tool Suite(STSと略す。EclipseベースのIDE。本だと3.9.5でやってたみたいだが、2019年4月時点だと4以降がデフォルトなので、自分は4.1.2でやった)
Lombok(ロンボックと読む。アノテーションをつけるだけでgetterとsetterを自動生成してくれる便利なライブラリです。ダウンロードしたlombok.jarをダブルクリックするだけでインストールされます。)
・データベース管理システム(Webシステムなんだから必要に決まってる。自分が普段使っているやつを使えばいいと思います。本ではH2 Databaseを使っていたが、自分は使い慣れているMySQLでやりました。)
Pleiades(プレアデスと読む。Eclipse日本語化プラグイン。英語が得意な人には必要ではないんだろうけど、自分は入れました。導入の仕方はこちらを参照(リンク先はWindowsでの説明だけど、Macでもfeaturesとpluginsフォルダにダウンロードしたものの中身を入れるという、同じやり方で大丈夫です)。)
Maven(メイヴンと読む。Javaのビルドツール。STSを公式ページからダウンロードしてインストールした場合は大丈夫(なはず)だけど、brewコマンドとかでインストールした場合はmvn -versionで入っているか確認して、なかったら公式ページから持ってくるかbrew install mavenとかでインストールしてください)

3. Spring Bootの構成の大雑把な説明
ここでは、Laravelとの比較っぽい感じでSpring Bootの構成をかいつまんで説明して行きます。なお、Spring BootではLaravelとかと違って、フォルダ構成は決まっていないので、自分で構成を考える必要があります。
Javaのソースはsrc/main/java以下に、Java以外(html, css, jsなど)はsrc/main/resources以下に置かれます。JUnitでテストを行うためのソースはsrc/test以下に置かれます。

src/main/java (Javaソースファイル)
・Application(メイン関数です。アノテーションに@SpringBootApplicationをつけます。プロジェクトを実行するとこのメイン関数が呼ばれます。Laravelのindex.phpに近いか。)
・Entity(データの定義です。@Entityアノテーションをつけます。lombok.Dataをインポートして@Dataをつければゲッターとセッターが自動的に生成されます。さらにJPA(Javaでデータベースを扱う標準技術)を使って@Table(name = “テーブル名”)をつければ、自動的にテーブルを作ってくれます。LaravelのModel(app直下のやつ)+マイグレーションといったところか。)
・Repository(Entityで定義したデータのCRUD(create, read, update, delete)の基本操作を行うためのもので、JpaRepositoryを継承したインタフェースとして定義されます。Laravelにはない機能ですね。)
・Controller(MVCのCを担うControllerで、Laravelのものと似ていますが、データに対する処理などは次に説明するServiceを呼び出す形で実装します。@Controllerアノテーションをクラスにつけます。また、Getメソッドならメソッドに@GetMapping(value=”(URL)”)を、Postメソッドならメソッドに@PostMapping(value=”(URL)”)をアノテーションにつけることでリクエストをマッピングすることができます。なので、LaravelだとController+routesに近いイメージかも)
・Service(データに対して行う処理を実装して、Controllerに渡すものです。これもLaravelにはないですが、あえて言えばModelとControllerの間をつなぐものというイメージかもしれないです。@Serviceアノテーションをつけます。実際の処理はRepositoryのCRUD操作を呼び出して実装します。)
・Form(htmlフォームに入力した値をコントローラに渡すためのクラス。バリデーションとかもここで行うことが多いようです。LaravelでいうRequest?)

src/main/resources(フロントエンドなど)
・Thymeleaf(タイムリーフと読む。植物のハーブから名付けられたようです。いわゆるテンプレートエンジン。LaravelだとBladeがデフォルトだけど、Spring Bootではこれ以外にもいくつかのテンプレートエンジンをサポートしているようです。)
・application.properties(アプリケーションの設定値を持たせるもので、Laravelだとconfig配下のファイルが近いと思います。使用するデータベースの設定なんかもここで行います。)

以上、かなり駆け足で書いたのでざっくりとした説明になってしまいましたが、その2を書くときはもう少し詳しく書ければと思います。