- 締切済み
暗号化された情報は安全ですか?
閲覧ありがとうございます。 ITでは情報漏えいが常に騒がれていますが、最近ベネッセの社員が個人情報をいっぱい流しました。 あれは内部の人間がサーバーに保存されているデータを抜き取ったとされていますが、 情報漏えいのひとつに第三者が通信を盗み見ることがあると思います。 企業のクラウドサービス利用に関して、セキュリティは切っても切り離せない課題になっています。 「暗号化」や「○○bit通信」のようなものをよく見かけますが、 実態として通信中のデータの安全は確保されているのですか? この質問に直接回答いただければ有難いですが、暗号化の信頼性について勉強したいので参考URLや書籍の紹介をしていただければ、とても嬉しいです。 回答お待ちしています。
- adictionnn
- お礼率89% (62/69)
- ネットワーク
- 回答数7
- ありがとう数6
- みんなの回答 (7)
- 専門家の回答
みんなの回答
- booter
- ベストアンサー率34% (269/769)
前の回答からの続きです。 現実の社会が完全ではない通り、ITの世界も完全ではありません。 日夜改善しようとしている人たちと、それを壊そうとしている人たちがいます。 「Galaxyシリーズ」にデータの閲覧・削除が可能なバックドアが発見される http://gigazine.net/news/20140313-samsung-galaxy-backdoor/ アップル、iOSの「バックドア」の存在を認めるも、あくまで「診断機能」だと説明 http://ascii.jp/elem/000/000/917/917348/ さて、こうしたことを学ぶ為にですが、最初の初歩はナツメ社の「図解雑学シリーズ」がとても分かりやすいので、こちらを薦めています。 図解雑学-暗号理論-図解雑学シリーズ-伊藤-正史 http://www.amazon.co.jp/dp/4816334653 上記以外となってくると、セキュリティもの・暗号モノは分厚くなるんですよ・・・ まずは上記からですね。 余談ですが、Google社では、一つのファイルを世界各地のデータセンターに分散化して配置し、そのファイルを使用する時に一つにまとめあげるというシステムを使っている為、他の会社よりもクラッキングされにくい、という防衛体制を取っている模様です。 但し、他回答者さんからの回答にもあるように、その内容は自社の商業利用で使っていると名言しています。 また、今後情報漏洩は防げるか否か? という点において、乱暴な言い方になってしまうのですが、もしドラクエなどで死にたくなければ冒険しなければいい、情報漏洩を防ぎたいのであれば、通信しなければいい、ということになります。大変残念な世界ではありますが・・・。
- booter
- ベストアンサー率34% (269/769)
こんにちは。 私はITのスペシャリストではありませんし、暗号・通信の専門でもないのですが、ご参考になればと思い、回答します。 まず、私の中にある結論としてですが、「完全に」秘密を遮断することは将来的に不可能であるが、現在は実用に耐えている(ように見える)というスタンスです。 誰かが何か秘密にしたい情報を持っていたとしますよね? それをITネットワークか何かでインターネット上のどこかにあるサーバに保管しておくとします。 さて、この状態で漏洩の防止に関して問題があります。 具体的に何が問題なのでしょうか? 1.まず個人が通信ネットワークをアップする際に盗聴が発生します。 2.続いてサーバにアップした時点でそれをクラッキングして遠隔で情報を抜き出す人がいます。 3.そしてサーバの中身を見られる権限のある人がそれを抜き出して他に売ったりします。 一つ一つ見て行きましょう。 ---- 1.の盗聴ですが、これは意図的側面と技術的不備側面に分かれます。 意図的側面とは、意図して盗聴を行う人がいるから盗聴が発生するのだ、ということです。 つまり攻撃する人がいるから発生するんだ、というスタンスですね。 先日話題になった、LINEの通信傍受は韓国国家情報院(旧KCIA)が行っていたということでした。 http://facta.co.jp/article/201407039.html <5月下旬、官邸内に衝撃が広がった。韓国の国家情報院(旧KCIA)が、無料通話・メールアプリ「LINE」を傍受し、収拾したデータを欧州に保管、分析していることが明らかになったからだ。韓国政府のサイバーセキュリティ関係者が、日本の内閣情報セキュリティセンター(NISC)との協議の場であっさり認めた。 システムに直接侵入するのではなく、通信回線とサーバーの間でワイヤタッピング(傍受)するから、「通信の秘密」を守る法律がない韓国側は悪びれない。だが、LINEの登録ユーザー4億人余のうち日本人は5千万人。その通話データなどが韓国にすべて送られ、丸裸にされているのだ。> また、そのデータの保管は欧州でやっているから問題ないというスタンスでもあったのですが、それを意図する人間が韓国籍の場合、その意図は法律によって裁かれないのか? という問題があります。 即ち、その通信に対する悪意を裁くのはサーバが該当国にある場合はその該当国の法律で裁くことになるので、被害者が日本であっても、日本以外の国にサーバがあれば日本の法律で裁くことができないということです。 これは技術進歩に対する国際間の法律整備が追いついていない状況でありますので、早急の対応が求められる部分であります。 また、LINEはその暗号方式の詳細に言及しておらず、どこがどう突破されたのかという件については分かっていません。 http://security.slashdot.jp/story/14/06/20/0834245/ 続いて技術的不備側面の件です。 これは防衛に問題がある、ということです。 通信に暗号化はかけられます。これをsslと言います。 が、先日、このsslの内、広く使われているOpenSSLという種類に脆弱性が見つかりました(Heartbleed問題/2014年4月7日)。 みんなOpenSSLだったら安心だな、と安心しきって使っていたんですよ。 無論、将来的には脆弱性は見つかるかもしれないが・・・と警戒はしながら使っていたんだと思うのですが、しかしそれでもOpenSSLは安定稼働していたので、他のリリースよりはまあ安心だと思っていた矢先、上記問題が挙がりました。 http://jp.wsj.com/news/articles/SB10001424052702303433504579501022362187200 <説明がつかない株式市場の下落 株式市場がハイ・フリークエンシー・トレーディング(超高速取引、HFT)業者によって操作されているということに誰もが動揺したのは先々週のことである。最近発見され、先週メディアで大きく取り上げられたのは、幅広く使用されている暗号化ソフト「オープンSSL」で見つかった「ハートブリード」と呼ばれるバグ(欠陥)だった。このバグによってウェブサイトはパスワードや口座番号などの盗難に遭いやすくなる。どうやら無法者のハッカーたちは不屈の強気筋の証券取引口座にも侵入したようだ。 連中は巧妙な手口で買い注文を売り注文に切り替えたに違いない。そしてその痕跡を隠すために、証券会社のコンピューターが勝手に国債を買うようにプログラムしたのだろう。そうでなければ、最近の市場動向は説明がつかない。何しろ、2014年が明ける直前まで、株式に関しては昨年の猛烈な強気相場が今年も継続し、国債の利回りについては下落余地がないので上昇あるのみだろうというのが完全に一致した見解だったのだから。 そうした卑劣な行為が暴かれると、ハートブリードを利用する連中はついさっきまで明るく健全な緑色をしていたコンピュータースクリーンを血生臭い死を連想させる赤に変えてしまった。その色合いの変化が最もはっきりしていたのは、絶え間ないパフォーマンス競争を強いられているヘッジファンドが選好するモメンタム株だった。先週金曜日、モメンタム株で下げ幅が最大だったのは、住宅ローン金利が低下しているにもかかわらず、不動産情報サイトのジロー(Z)と不動産検索サイトのトゥルリア(TRLA)で、それぞれ7%と6%の下落を記録した。> そしてこの穴が塞がったあと、もう無いだろうと安心していた矢先、更にバグがあることが分かりました。 http://www.atmarkit.co.jp/ait/articles/1406/06/news037.html <OpenSSLに再び脆弱性、MITM攻撃につながる恐れ オープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱(ぜいじゃく)性が発見された。中にはMITM攻撃につながるおそれのある問題も含まれており、修正版0.9.8za/1.0.0m/1.0.1hへのアップグレードが呼び掛けられている。> < このうちMITM攻撃につながる脆弱性(CVE-2014-0224)は、「ChangeCipherSpec (CCS) Injection Vulnerability」と呼ばれており、日本のネットワーク/セキュリティ技術・研究開発企業、レピダムの菊池正史氏が発見した。公開されたブログによると、この脆弱性はOpenSSLの最初のリリースから存在しており、16年もの間発見されてこなかった。原因は「TLS/SSLを実装したことのある経験者が十分にレビューできてなかったこと」にあるという。 脆弱性はOpenSSL 0.9.8y以前の全てと1.0.0~1.0.0l、1.0.1~1.0.1gに存在する。OpenSSLのハンドシェーク中に、不適切な状態でChangeCipherSpecを受理してしまうことが原因となって、第三者が知ることのできる「弱い鍵」を使用させるよう仕向けることができる。この結果、本来ならば適切に暗号化されるはずの通信内容や認証情報など重要な情報を、攻撃者によって詐取/改ざんされる恐れがある。プロトコルや暗号アルゴリズムには依存せず、影響を受ける恐れがあるという。> この技術的欠陥ですが、それではいつか将来は完全に防げるようになるの? という疑問があると思います。 私の一意見であることに注意して頂きたいのですが、これは完全に防げるようにはならないと思います。 哲学の領域になりますが、「完全」とは一体なんだろう、と言うことを考えてみましょう。 私は考えるのですが、「完全」とは「理論の実装」のことではないかな、と思っています。 しかし、現実には「理論の実装」が現実に適用できないことが種種ありますので、現実的な係数をかけていかなければならない状況です。 即ち、暗号化通信においても然りであって、完全に近付くことはあっても完全にはならないのではないか、というのが私が暗号化通信に対する将来に対しての見立てとなります。 ただ、ドラクエで「冒険中に死ぬ可能性がある」と言っても、装備が全く無い状況と装備がそれなりにある状況では冒険のやりやすさが全く異なるので、装備はあった方がいい、すなわち、インターネットを利用するのであれば、暗号化は破れるかもしれないが、ないよりはマシという判断になります。 ---- 2.続いてクラッカーのシステム侵入ですが、私は攻撃手法に詳しくありません。 しかしこれは現実的にありうると思います。 DDOS/ポートスキャン/ブルートフォース・・・いろいろあります。 ---- 3.最後にサーバの中身を見られる権限のある人がそれを抜き出して他に売ったりする件です。 これはベネッセの情報流出事件が該当し、契約上の情報漏洩部分で防いだり、組織の職制コントロールで防ぐしかありません。 システムの管理者は絶対的にいるわけなので。 ---- これまでの経緯を見る通り、私としてはイタチごっこのような気がしてなりません。 暗号化通信が先行して数年間は安定を保つのですが、脆弱性が見つかったり、クラッキングされたりで安全性が突破され、それに対する防衛的仕様が追加される・・・というのをコンピュータ通信が登場してから何度も繰り返しているように思われます。
- uyama33
- ベストアンサー率30% (137/450)
あなたが意識して暗号化したデータを送信しなければ安全性は確保できません。 例えば、GメールですがPCからサーバーまでの通信経路はSSLで暗号化しているから安全と 宣伝していますが、 サーバーの中では、暗号化がされていなくて、内容検索をして宣伝に利用しています。 サーバーに入れば大量のデータが一挙に得られるという点で、 サーバーの中でも暗号化されているか否かがもっとも重要だと思います。 このためには、データをSSLで送信する前に、しっかりと暗号化しなくてはなりません。 これは、自分でやるしかありません。 サーバー管理者に解読できない方法で暗号化しておく必要があります。 参考書は、 http://www.amazon.co.jp/The-Design-Rijndael-Information-Cryptography/dp/3540425802 を勧めます。 ただし、本文及びソースコードに少しミスプリントがありますので、 見つけたら、著者に確認する必要があります。 以前は、ミスプリントの一覧がネットで見つかったのですが最近は見つかりません。
お礼
御礼が遅くなりました。回答ありがとうございます。 >サーバーの中では、暗号化がされていなくて、内容検索をして宣伝に利用しています。 >サーバーに入れば大量のデータが一挙に得られるという点で、 >サーバーの中でも暗号化されているか否かがもっとも重要だと思います。 暗号化を厳重に行うスタンスであるのならばサーバーの中にあるデータも 一つ一つ暗号化されていることが必要ということですか? たとえばGmailならばメール本文ではなくてtxtファイルをpw付zipにして送るとか・・・ 参考書籍ありがとうございます。 洋書ですね。気合入れて読みます。
- lv4u
- ベストアンサー率27% (1862/6715)
>>実態として通信中のデータの安全は確保されているのですか? 基本的には、一般大衆に対しては安全だと考えられています。 でも、NSAのスノーデン氏の暴露からもわかりますが、海外刑事ドラマにあるような、ネットを通じたスパイは国家レベルで行われています。 なので、「通信中のデータが完全に安全」とはいえません。 また、一部の通信は、無線の通信回線を使っています。ですので、誰でも傍受は可能なわけで、国家予算を投入すれば、簡単(とはいえないかな?解読ソフト作るのは結構大変・・・)に情報を盗むことができます。 貴方が、イスラムテロに関係するような情報を海外とやりとりすれば、情報機関にアラームが上がるはずです。 海外ドラマでは、NSAの職員が「NSAは他機関へのスパイ行為なんてやっていません!」と主張するシーンもありましたけど、ちょっと滑稽な感じがしましたね。ドラマの制作時期がスノーデン氏の事件以前だったのかもしれません。 なお、彼ら情報機関は通信データの暗号を解きやすくするために、暗号化ソフトの仕様にまで影響を与えたことがあります。 ちなみに、異星人やUFOがらみなと国家を揺るがすトップシークレット関連となると、暗号化なんて無意味になります。 いわゆる超能力的な方法で、スパイしますので、通信機材の有無に無関係だから、暗号化なんて無意味になります。
お礼
お礼が遅くなりました。 回答ありがとうございます。 危険な思想家ではないので目をつけられることは無いと思います・・・ >また、一部の通信は、無線の通信回線を使っています。ですので、誰でも傍受は可能なわけで、国家予算を投入すれば、簡単(とはいえないかな?解読ソフト作るのは結構大変・・・)に情報を盗むことができます ソフト開発も必要ですがそれを動かすのに強力なハードも必要ですよね。
- kikanbo
- ベストアンサー率31% (44/139)
暗号化というのは複合できることを前提にしているので、複合できる限り必ずしも安全であるとは言えません。 暗号化のほとんどは 解析にとてつもない時間がかかる≒解析できない=安全 とされているだけで、解析できないわけではないことが多いです CPUのスペックが上がれば解析時間は短くなり、また脆弱性が発見されれば、過去に安全とされていたものも現在では安全ではないとなります。 Windowsは2017年1月1日には過去に安全とされてたSHA1のSSL対応を終了します。 データが暗号化されていても、そのパスワードをメールで送信するなどしてパスワードが盗聴されては意味がありません。 データの漏えいが起こりやすいのは人為的なものであったり利用者のポリシーの低さであったりします。
お礼
お礼が遅くなりました。回答ありがとうございます。 >Windowsは2017年1月1日には過去に安全とされてたSHA1のSSL対応を終了します。 SSLもアテにならないかもしれないという予想されているということですよね。勉強になります。 URLの中身をざーっとですが読みました。 暗号解読にいろんなアプローチがあるんですね。
- notnot
- ベストアンサー率47% (4848/10262)
何事もそうですが、「安全」「安全でない」の二者択一のようなものはあり得ません。 URLが、https: で始まるような暗号化通信においては、我々一般人としては、盗み見の心配はしなくてもいいです。 もちろん、https: ではじまる偽サイトに接続してしまったら、そのサイトに情報が漏れますが、それは盗み見とは別と言うことでいいですよね。 >暗号化の信頼性について勉強したいので参考URLや書籍の紹介をしていただければ、とても嬉しいです。 暗号技術一般についてはこのあたりでしょうか。 http://www.amazon.co.jp/dp/4797350997
お礼
お礼が遅くなりました。 回答ありがとうございます。 >もちろん、https: ではじまる偽サイトに接続してしまったら、そのサイトに情報が漏れますが、それは盗み見とは別と言うことでいいですよね。 こちら側したら「やってしまった」状態ですよね。それは無しです。 URLの記載ありがとうございます。 ベストセラーなんですね。近くの図書館にあれば借りて見ます。
- 大明神(@bathbadya)
- ベストアンサー率19% (769/3963)
講談社のブルーバックスにありましたね。 かなり難解でした。 もう廃番かな? いまネットで見るとビットコインが出てきますね
お礼
お礼が遅くなりました。 回答ありがとうございます。 暗号が通貨になる「ビットコイン」のからくり これですかね。他にも暗号に関する書籍がありそうなので調べてみます。
関連するQ&A
- 暗号化について
はじめまして。 暗号化について教えて下さい。 ファイルを秘密鍵方式で暗号化、複合化を行うのですが 暗号化する前のファイルのバイト数と暗号化されたあとの ファイルのバイト数は必ず同じになるのでしょうか? ソースの内部で処理を行う予定なのですが、 最初に暗号化前のファイルの大きさだけ 暗号化後のファイルの領域を確保しようと考えています。 今回、暗号化を行うのは OpenSSLのRC2(40bit)です。 コマンドは 「openssl -e -rc2-40-cbc -in 暗号化前ファイル -out暗号化後ファイル」 です。 もう一つ教えていただきたいのですが、鍵の設定は上記のコマンドの末尾に「-K 鍵」で合ってますか? 以上です。よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- フリーウェアの暗号化ソフトを業務で試用する場合の信頼性
個人情報保護法が本格施行されたこともあり、業務で個人情報を含むデータファイルをメール送信する場合には、暗号化してセキュリティ確保したいと考えています。 このような目的でフリーウェアの暗号化ソフトを使用した場合に、耐えうる信頼性はあるのでしょうか? また、暗号化ソフトの比較検討を掲載したホームページや、推薦できるソフトウェアがあれば教えてください。 よろしくお願いします。
- ベストアンサー
- フリーウェア・フリーソフト
- これからの情報化社会は何が発展していくでしょうか?
これからの情報化社会において何がどう発展していくのでしょうか? 最近ではクラウド、スマホ、電子書籍などが発展していくように思っているのですが 他に何かありますでしょうか? 卒論の課題としてエクセルのVBAで色々組んでいたのですがよく分からないので 今更ながらテーマを変えようと思い質問させて頂きました。 クラウドに関しては他の方がやっておられるのでスマホ、電子書籍のこれからについて 持論を踏まえて論文を書いていきたいのですが、他にも何か題材があれば教えて頂きたいです。 また、スマホや電子書籍はこれからどのようになっていくのでしょうか? 宜しければ教えてください。
- ベストアンサー
- その他(インターネット・Webサービス)
- SSL暗号化の仕組みについて教えてください
SSL暗号化の仕組みについて、教えてください。 公開鍵を使って共通鍵を生成し、共通鍵で通信をすることで傍受やなりすましによる情報漏えいを防ぐということはわかるのですが、 第三者が公開鍵も、共通鍵も傍受して、情報を傍受していたら情報漏えいのリスクは完全には排除できないような気がするのですが、その点にまでコメントされたものは本でもネットでも見当たらなかったので、 どなたかご存知の方がいらっしゃればご解説願います。 http://www.soumu.go.jp/joho_tsusin/security/kiso/k01_ssl.htm
- ベストアンサー
- スパイウェア
- 公開鍵暗号方式を利用した下りデータの安全性について
公開鍵暗号方式については、 ・公開鍵で暗号化したものは秘密鍵で復号できる ・秘密鍵で暗号化したものは公開鍵で復号できる ・秘密鍵は(もちろん)秘密だが、公開鍵は不特定多数に配布可能 が前提にあると理解しています。 SSLも公開鍵暗号方式を利用した通信プロトコルということですが、ここで、一つの疑問が湧きました。 信頼できるルートから署名された証明書を持つサイトで、SSLによって通信が暗号化される会員登録画面があったとします。 利用者は、氏名や住所などを登録画面に入力し、登録ボタンを押します。 この時、入力した情報は、サイトの証明書から入手した公開鍵で暗号化され、サイトに送信されるのだと思います。 ここで暗号化された情報は、サイトが持つ秘密鍵のみで復号可能ですので、鍵を持たない第三者が盗聴すること自体が無意味であり、安全であると言えます。 では、登録された情報を、利用者が確認のために表示する場合はどうなのでしょう? 今度は、サイトが持つ秘密鍵で利用者の情報を暗号化し、サイトの公開鍵によって利用者側で復号することになると思います。 しかし、前述したように、そのサイトの公開鍵は不特定多数の人が持っている可能性があります。 ということは、下りデータの通信を盗聴することで、同じ公開鍵を持つ第三者に復号されてしまうのではないかと考えたのですが、実際はどうなのでしょうか? 利用者が個人で秘密鍵を持っていない状況での通信というのがポイントです。 インターネットなどで調べてみたのですが、秘密鍵の所有者向きの通信を公開鍵によって安全に暗号化することを例とした説明が多く、先の疑問に対する明確な解答を見つけることが出来ませんでした。 また、ランダムに生成した共通鍵を公開鍵で暗号化するハイブリッド方式というものがあり、何か関連があるかと思ったのですが、公開鍵暗号方式のデメリットである処理速度の問題を補う手法という内容で、解決には結び付きませんでした。 ご存知の方がいらっしゃいましたらお教え下い。 宜しくお願いします。
- ベストアンサー
- ネットワーク
- 個人情報の漏洩、流出について
個人情報の漏洩、流出について USBメモリに個人情報を入れ、そのUSBメモリが盗まれた時点で個人情報の漏洩となりますよね。 では、http://buffalo.jp/products/catalog/flash/ruf2-hscuw/ 上記URLのような指紋認証のパスワード、更に保存したデータを全て暗号化でき第3者にはデータを開く事ができないUSBメモリの盗難の場合でも個人情報の漏洩となるのでしょうか?
- ベストアンサー
- その他(法律)
- 個人情報の漏洩について
4月より個人情報保護法が施行されます。 個人情報の漏洩について、疑問があるのですが、 1.紙ベースの個人情報をシュレッダーなどで裁断したものを紛失した場合は個人情報の漏洩にはあたらないと思うのですが? 2.個人情報をRSAなどで暗号化したハードディスクに保管したPCが盗難にあった場合は? データの復元では、両者ともほぼ不可能でしょうが、1.は問題なしと判断され、2.は漏洩事故としてあつかわれるのでしょうか?
- 締切済み
- その他(法律)
- 世の中の暗号解読について
曖昧な質問ですいませんが教えてください。 どこかの国の安全保証局などのように、 エシュ■ンや検閲などで、 国内外の通信を監視し、分析しているところがありますが、 これで得られた暗号化通信データというのは、 どの程度復号化されてしまうものなのでしょうか? 例えば、全自動プログラムで即効で解析するような、 体当たり的なやり方で解析しているのでしょうか? (解析に時間のかかる暗号は、時間をかけてでも解析しているのでしょうか?) そうではなくて、情報の取得先を特定して、 ここの組織の暗号化はこれだな!、と割り振りして復号化しているのでしょうか? (大手サーバーを介さない、個人レベルの通信は無視ってことでしょうか?) 誰にも頼らずに自分一人で簡単でもいいから、 オンリーワンの暗号化プログラムを作成するのが一番無難ってことでしょうか? (単純な暗号化でもわからないものなのでしょうか?) ずらずらと質問を並べてすいませんが、ご存知であれば教えてください。
- ベストアンサー
- その他([技術者向] コンピューター)
お礼
お礼が遅くなりました。回答ありがとうございます。 こちらの都合で回答内容を見切れずにお礼しています。申し訳ないです。 ざっとと見てですが情報セキュリティについて濃いご回答をいただけているな思っています。 しっかりと拝見します、参考URLの記載ありがとうございます。