• 締切済み

パスワードの決め方について(SHA3orHMAC)

パスワードの決め方や保管の方法について、分からなくなってきたので基本から質問させてください。 1.パスワードをホームページ等でネットに公開したら危険ですか? 2.1.はただそのまま公開したら危険なのでやってはいけないと思いますが、暗号化して、パスワードのパスワードがないと解けない状態にして公開しておけば安全ですか? 3.2.の暗号化の手法として、暗号学的ハッシュ関数を用いて、ハッシュ値 h をパスワードにすれば、暗号化したパスワードを公開しても安全ですか? 4.3.について、パスワードにしたハッシュ値 h を公開したのではパスワードをそのまま公開していることになり、危険なため、ハッシュ値 h を算出する暗号学的ハッシュ関数の実行コマンドをホームページ等で公開し、パスワードを確認したいときにはこのコマンドを実行してハッシュ値を得ることにすれば、安全ですか? 5.4.について、暗号学的ハッシュ関数はSHAシリーズなどがありますが、この実行コマンドは広く一般に利用できる状態で提供されているため(ハッシュ計算するソフトウェアやWebサイトなど)、SHAなど既存の暗号学的ハッシュ関数を用いるのではなく、自分で専用に暗号学的ハッシュ関数を考案し、また実行コマンドやソフトウェアを作成する必要がありますか? 6.5.が大変な場合、SHAなど既存の暗号学的ハッシュ関数を用いて4.を実現するにはどうしたらいいですか? 7.4.について、コマンドがパスワードの数だけ存在すると管理が大変です。コマンドは共通にして、オプションスイッチで区別することはできませんか? 8.7.について、コマンドは既存のソフトウェアをあらかじめインストールしておき、オプションスイッチを含む実行コマンド文のみをHP等で公開しておくことはできませんか? 9.6.7.8を実現するには、オプションスイッチのうちのひとつをパスワードのパスワードとして、このスイッチのみを非公開とすれば良いですか? 10.9.について、コマンド文はどのように記述すれば良いですか?たとえばハッシュ関数H()、出力h、パスワードの対となる文字列(IDとかファイル名等)m、パスワードのパスワードをk、||は結合とした場合、 H(k||m)=h と書けると思いますがこれをH(m)として公開し、kはあらかじめPC等コマンドを実行する環境で設定しておけば良いですか? 11.10について、暗号学的ハッシュ関数SHA2シリーズ(256bit等)を用いた場合、Merkle-Damgård 構造であるため、length-extension 攻撃され、危険ですか? 12.10.11.について、暗号学的ハッシュ関数SHA3シリーズを用いた場合、SHA2シリーズのハッシュ関数と異なりスポンジ構造であるため、length-extension 攻撃は成り立たず、安全ですか? 13.12について、length-extension 攻撃以外の危険性はありますか?

みんなの回答

回答No.1

ご高察、拝見いたしましたが、目的を見失って検討が暴走しているように見えます。(1.→2.→3.の飛躍がすごいです) そもそも何をなされたいのでしょうか?(要件が見えません) 自分の使っている数々のパスワードをいろんな場所からいろんな情報端末から見たいというだけなら、gmailかなにかで自分宛にでもメールで送っておけば済みそうな話だと思いますが。他にもいろいろ手はありそうです。 実用性はともかくこういうことを考えるのが、ただ趣味なのでしたら止めはしませんけど、基本からと言われるとまず要件ありきでそれに対する最適な実現方式は?という話になりますし、その辺、明らかにしないと回答しにくいです。

hashorhmac
質問者

補足

要件は、パスワードのような、個人や何らかの特定に用いる文字列は、当然、覚えにくいものにどうしてもなるので、この文字列は最小限として、仕方ないので暗記して、当然頭の中だけで、秘匿しておくものですが、この根本のパスワードひとつと、あとは、機器や装置や端末の操作手順、これはマニュアルや操作ガイダンス画面などで、特に秘匿されるものではなく、広く公開されていてしかるべきものと考えますが、要するにこのふたつのうち、秘匿を要して、当人しか用いない情報、つまりここで言えば根本のパスワードのような文字列は、暗号学的ハッシュ関数を利用して、その入力とし、各システムで使われる個々のパスワードなりIDなりは、暗号学的ハッシュ関数の出力から導き出される文字列とすれば、暗号学的ハッシュ関数の操作は、公開できる情報となり、要は、現状でいう秘匿すべきパスワードはハッシュの入力として渡す文字列ひとつにまとめられ、他は全て公開情報でかまわない、ということです。 まだ分からないようであればまた補足します。

関連するQ&A

専門家に質問してみよう