  |
はてなキーワード: 暗号化とは
突っ込みたいこと多すぎてブクマでは書ききれないので増田に吐き出す。
匿名なので口が悪くなるが気にしないでくれ
https://b.hatena.ne.jp/entry/s/mainichi.jp/articles/20220519/k00/00m/040/228000c
地方自治体が住民に法的措置をとるためには、議会の議決が必要なんだよブォォオオオオオケ!
さらにその前段階として、ルーチン決済作業ではない、レアな事例を新たに起こすための内部決済作業も必要なんだよ。
そして「なぜこの人に法的措置が必要なのか?」て必要性も問われるんだよ。
最初に本人宅に赴いて説明し謝罪したときは、本人は「わかりました、返します」て言ってたんだよ。その後も「返さないわけでないけど、公文書をくれ」とズルズル引き延ばしてその間に口座移してたんだよ。
それなのに「こいつはウソつきの屑人間だ」と疑って法的措置しとくべきだったと?
裁判所から本人にも「町から口座凍結の仮処分申請が来てるが」て通知が来るよ。
本当に返すつもりの人までカチンとこさせて敵にしちゃうでしょ、それ。
本当に返すつもりの人が「返す言ってるのに町から一方的に法的措置され口座凍結されたーっ!必要な金まで下せなくなったーっ!」てツイッターに書いたら、「本人は返すといってるのに裁判所に訴えて強硬手段とるなんて、町は酷い!」て役場叩きでバズるやつやんそれ。
お前らそうなってたら「いきなり法的措置とるなんて住民を信用してないのか」「外から移住してきたよそ者だから差別してるんだ!さすが田舎は民度低い!もうこの町には二度と行かない!」と草津のときみたいに叩く側に回ってただろ絶対。
町長決済が一日何件あると思ってるのよ。特別に対応が必要なレアケースの対応以外に、ルーチンの決済書類が山と積まれてるのよ?
「4000世帯への助成金の振り込み」の決済なんてルーチンの最もたるもので、4000世帯の振り込み内容一件一件を町長が細かく確認して間違い探ししろと?
すべての決済でそこまで細かく見てたら、町長の一日が100時間あっても足りねえよ。
でも「決済でハンコついてるのにミスに気付かなかったから責任が大きい」は的外れな責め立てなんだわ。
USBメモリや暗号化したメールでやりとりしてたら、今回の誤振り込みは防げたの?
振り込み情報なんてテキストデータで数百バイトしかなく、第三者から傍受や改変される可能性がない物理媒体のやりとりするうえで、コストと手間かけて新しいメディアに更新する理由がないから使ってるだけ。フロッピー使うことに何の害があるっての?
役場叩きたいがあまり関係ないことまで嘲笑したくなっちゃった?
あと、「本人も悪いけど、誤振込して使い込むきっかけを作った町も悪い」てブコメが複数スター集めて上位ブコメになってるのにびっくりしてしまったんだが、町悪くなくない?
誤振込した直後に本人宅に謝罪に赴いて、使わず返してくださいと要請してるのに。
ふつうの人間ならそこで「いいですよ」と了解して放置しとくのがふつうで、それを「返すけどちょっと待て」なんて引き延ばししつつ口座移して使い込んだのは100%本人の故意でしょ。それも悪意たっぷりな。
君らそんな「自制心のない人間の悪の行動を誘発した方が悪い」て考え方やったっけ?
君の友人が財布おとして拾った人間に使い込まれたら「落としたお前も悪い」ていうの?
君の友人が車に鍵かけわすれてコンビニ行ってる間に車盗まれたら「鍵かけ忘れたお前も悪い」ていうの?
女に飢えてる非モテ男の前に、生足むきだしミニスカート・体のボディラインが出た服着た若い美女が夜道を歩いてて、男が盗撮や痴漢してしまったら
「手を出した男も悪いが、そんな恰好で誘発した女も悪い」て女も責める、そんな場所だっけ?違うよね。
「どんな服を着るのも個人の自由」というなら、今回のに似た例えにするわ。
「ミニスカートはいた美人が女体に飢えた非モテ男の前を歩いてて、うっかり転んで男にパンツや下着を見せてしまって、パンツ見て我慢できなくなった男が痴漢や盗撮した」事例で、「うっかり転んで下着見せた女も悪い。ミニスカートはく以上は転ばないよう細心の注意を払いながら歩くべきだ」ていうの?言わないだろ。
なんで今回に限って使い込み男に異様に甘いの?
Wikipediaで真珠湾攻撃の記事を読むと、昔の日本人は無能だったことが分かります。
失敗は他人のせいにして、誰も責任を取らない姿勢は今も昔も変わりがないでしょうか?とても残念です。
https://anond.hatelabo.jp/20220319102718
「リメンバー・パールハーバー」というのは単に「真珠湾を思い出せ」というだけの意味ではなく、人類史上最悪の戦争犯罪である原爆投下を正当化するための合言葉なんだよな。これもまた「犬笛」なんだよ。だから日本人は怒ってるわけ。
東郷から駐米大使の野村吉三郎宛に、パープル暗号により暗号化された電報「昭和16年12月6日東郷大臣発野村大使宛公電第九〇一号」は、現地時間12月6日午前中に大使館に届けられた。
「帝国政府ノ対米通牒覚書」は現地時間午後2時20分に特命全権大使の来栖三郎と大使の野村吉三郎より、国務省において国務長官のコーデル・ハルに手交された。
宣戦布告の通知書を相手国に届けるのが遅れてしまい、結果的に奇襲攻撃になってしまいました。
事前に宣戦布告ができなかったので、日本はただの卑怯者になりました。
一事が万事。計画が杜撰だったので最初から失敗。日本が負けるべくして負けた戦争でした。
肝心なところで失敗するのは、やはり頭が悪いからという他ありません。大変残念なことです。
1994年11月20日に外務省は当時の調査委員会による調査記録「昭和16年12月7日対米覚書伝達遅延事情に関する記録」を公開した。
この調査などに基づく通説では、6日夜に大使館員が南アメリカへ転勤する寺崎英成の送別会をメイフラワー・ホテルの中国料理店で行っていたこと、奥村が送別会後も大使館に戻って浄書を行わず知人の家にトランプをしに行っていたこと、奥村の英訳親書の浄書・タイプが遅れたこと、14分割目に「大至急」の指示が付されておらず「帝国政府ノ対米通牒覚書」[257]本文の続きであることがわからなかったことなどが原因であるとされている。(この外務省調査は本来行うべき外務省からの発信時刻を調査対象から外しており、その点に大野は疑念を呈している。)
このような大使館のミスによる失態であるとの通説に対して、奥村とともに責任を問われることがある大使館総括参事官の井口貞夫は生前に「自分の管掌事務ではなく、この対米通告が宣戦布告だとは承知していなかった」と主張していた。
またその息子である井口武夫元ニュージーランド大使も、彼自身の調査研究の結果として外務省本省が負うべき落度を現地大使館に責任転嫁しているとして、奥村書記官を含めて大使館側に失態はなかったと主張している。
真珠湾攻撃の2日後の12月9日には、ポートランドのオレゴニアン紙で、アラモの戦いでのスローガン「Remember the Alamo!(アラモを忘れるな)」を改題した「REMEMBER PEARL HARBOR!(真珠湾を忘れるな)」とのフレーズが早くも登場している。
ルーズベルトが汚名演説で、日本の行為を「恥知らずな蛮行」や「背信行為」と激しく非難するなど、アメリカ政府が真珠湾攻撃を「だまし討ち」と喧伝することによってアメリカ国民の愛国心はさらに高まることとなり、「REMEMBER PEARL HARBOR!」というフレーズはたちまちアメリカ全土を席巻する国民的スローガンとなった。
ウクライナのゼレンスキー大統領は、アメリカの議会で「真珠湾攻撃を思い出せ」と訴えています。
日本人は、過去の失敗から教訓を得て、同じ失敗を繰り返さないよう賢明になるしかありません。
しかし、アメリカが広島と長崎に原爆を落として、大量の非戦闘員を殺したのは戦争犯罪です。
「REMEMBER PEARL HARBOR!」は「REMEMBER HIROSHIMA!」「REMEMBER NAGASAKI!」とセットで覚えておくべきです。
アメリカが日本に原爆を使ったのは戦争犯罪であるのと同様に、ロシアがウクライナに原爆を使うのは戦争犯罪なのでやめるべきだとゼレンスキーは日本の国会で主張するべきでしょう。
日本の国会における演説では、日本人向けに「核兵器の使用は戦争犯罪である」「核兵器を所持する者、核兵器を使用する者は人類の敵である」と明確に主張してください。
暗号化っていうのは
「情報の正しさを照合できる」
っていう技術
なので
っていうのは嘘で
が正しい
平文を暗号化してサーバに保存している場合は、結局は鍵をサーバに預けているので、信頼情報がユーザの手を離れてしまっている
って言われても家の鍵を大家に預けているのと同じ状態で家の中に100億円置いてるような人だと信用に足らない
じゃぁ例えばユーザにその鍵を預けておいて、認証の度に渡すようにしよう!なんていうことをやっても
鍵はデジタル情報だから簡単にコピー可能(追跡不可能)なので一度でも渡したら信用価値はゼロになる
ちなみにこれはハッシュ化でも同じ話で、ハッシュ値をサーバに保存していても平文を送りつけてハッシュ値をサーバで計算していたら意味が無い
ユーザ側でハッシュ値を計算して送りつける方法なら多少は意味があるけれど、結局は鍵がハッシュ値に変わっただけなので通信傍受されたらダメ
なのでダイジェスト認証っていう仕組みを使うので興味がある人は調べて欲しい
ということで、暗号化をしても結局は鍵の扱いに困ることになる
ログインで知りたいのはパスワードそのものではなくて「パスワードを知っているかどうか」だけ
なので、ハッシュ化を使って「パスワードを知っていたらハッシュ値も当然知ってるよね・・・?」っていう感じの認証を行う
ここで大事なのはハッシュ化っていうのは秘匿情報はユーザの側にあってサーバ側に渡していない、ということ
なのでプログラムをこねくり回しても原理的には元のパスワードは分からないしそれが基本
そこに「でも単純なパスワード使ってる人がいるかも?」「使い回している人がいるかも?」っていう悪知恵で攻撃してくる人がいるので
あと、秘匿情報がユーザ側にある、といってもどうせスマホとかPCに保存されているのでそっちをクラックされると漏洩する
なので基本的に鍵は脳内に保存した文字列か生体認証、もしくはデバイス認証を使う
この辺はパスワードマネージャーを使っていてもマスターパスワードが必要になるのと同じ
ここまでがセキュリティ講習の1日目の午前中の話
あーーーほ
暗号化しても平分で持ってても、ようはDBにアクセスされてる時点でハッキングされてるわけ。
そんなときに暗号化しておくともしかしたらパスワード悪用される前に時間稼ぎができるかもしれん。
そして強力なハッシュ+ソルト+ストレッチングするっていう、「現代のデファクトスタンダード」な運用なら一番その時間稼ぎができるわけ。
そもそもDBが完全無欠に守れる自身があるなら平分で保存でもいいわけなんだけど、んなわけねーだろ。万が一流出したときのダメージコントロールのためにハッシュカルル訳?ソコンところ理解できてないから、
安全化どうか?みたいなアホな観点でしかものを語れないわけよ。アホたれ
だからパスワードハッシュおもらししたら、直ちにおもらししたことを報告して、その間にハッシュでパスワード解読時間を稼いでる間に、おもらしされたユーザーは万が一他のサービスで同じパスワード使ってるとかいうアホなことしてたら、対応するわけよ。わかる?
まあでも、そもそも他のサービスでもパスワード流用してるタイプのアホは、そんな事しねーよみたいな気持ちもあるな。
そしたらそもそも、平文でほぞんしててもいいような気がしてきたけど、ハッシュで管理してて、アカウントの数が何千万とかあればだよ。
自分のアカウントのパスワードの解読まで一生かかっても作業が回ってこない可能性もあるので、事実上安全っちゃ安全かもしれない。
でもハッキング対象のアカウントが決め打ちでキメられてるなら、スパコンとか使って意地でも特定アカウントのパスワードを割り出すみたいな作業は可能かもれない。
だからってそれは、平文で保存したり、暗号化していい理由には並んと思ってて、
完全に安全にパスワードを管理することは無理だけど、限りなく安全に近い形で取り扱うことのできるハッシュ化(当たり前だけどそこには強力であること+個別のソルと使うこと+ストレッチングが含まれる)をするのは当然であって、
ハッシュが安全かどうかとか言ってる時点で、そもそもの何が問題で、なぜハッシュが良いとされているのか、なぜハッシュがデファクトで使われているのかってのをまるで理解してないと思う
そうやって表面だけの技術情報をなぞっただけでわかったような気持ちで文章書いてる時点で、自分の知識に対する過剰な自信と、慢心が溢れ出してて嫌いです
https://www.itmedia.co.jp/news/articles/2203/15/news172.html
ドコモ・ソフトバンクのパスワード平文提示問題が話題になっていたが、その中のコメントが理解できていないのがで教えてほしい。
「パスワードを暗号化して保持していても、復号できるなら平文保持と同じ」旨のコメントがいくつかあったのだが、これはどういった理由なのだろうか?
暗号化パスワードが流出しても、十分な強度を持った暗号化方式を利用している限り、鍵が分からなければ復号できないはずだ(方式によってはIVも)
この鍵が容易に解析できるといっているのだろうか?
それとも、サーバで保持しているであろう鍵も盗めるからダメと言っているのだろうか?
そうであればそれは鍵の管理方法次第で、プログラム内に保持しているもしくはユーザ情報(ネットワーク認証コード等)をもとに毎回生成している等であれば問題ないはずだ。
メモリ上の鍵や生成方法も盗まれるからダメという話であれば、それはハッシュ化したところで同じ問題が発生するはずだ。
ハッシュ化されたパスワードでも、ソルトやストレッチング回数を盗みさえすればある程度時間をかければデハッシュできてしまう。
これだけで押し通せば間違ってなかったと俺も思うけど
「ハッシュ化だって万全じゃないし!」とか言い始めるのがダサいんだよ
それはみんな知ってる
「ハッシュ化さえすれば万全だ」
とは誰も言ってない
そもそも、DBファイルが平文でなく暗号化されているということを指摘して、事実報道の誤りを指摘したのが、元コメントだ。
それに対して、「正しいデータ保護には暗号化ではなくハッシュ化が必要だ」という方法論を持ち出しているのが、きみたちだよ。全然話の次元が違うだろ。話が噛み合っていない。
要するに、人の話を理解できないで、自分の話ばかりをしている。ただのコミュ障だろ。相手が何の話をしているかを知れ。「正しいデータ保護の仕方」というのは、きみの関心であるだけだ。元の話ではそんなことには言及していない。
「DBファイルの暗号化ファイルが平文ではないという話をしているなら、ハッシュ化の話をするべきだ。ハッシュ化こそが大事であって、これを書かなくては駄目だ。ハッシュ化の話をすれば、それでいい。だけど、レイボーテーブルやソルトの話はしなくてもいい」
本当にそう書いてるならそれを引用すればいいのに、さっきから「こう言われた」っていう自分の解釈ばっかり
blueboyってほんとしょうもないね
> ってことでいい?
全然ダメだね。勝手に歪曲している。(誤読して改変している。)
だ。これに対して、
「DBファイルの暗号化ファイルが平文ではないという話をしているなら、ハッシュ化の話をするべきだ。ハッシュ化こそが大事であって、これを書かなくては駄目だ。ハッシュ化の話をすれば、それでいい。だけど、レイボーテーブルやソルトの話はしなくてもいい」
「ハッシュ化だけじゃ駄目だよ。レイボーテーブルやソルトまでやらないと、十分ではないよ」と教えてから、「だけどブコメでは字数制限があるんだから、書けなくても仕方ないね。それはおたがいさまだよ」
と教えて上げている。
なのにきみたちは、「100字以内で ハッシュ化と レイボーテーブルと ソルトまでわかりやすく説明しないやつは、ど素人だ」と文句を言っているんだよ。自分のことを棚に上げて。
> たとえ話のこのくだりは、どれに当たるんだ
元コメントだと明示してあるだろ。元記事の次のコメントだよ。引用すると:
> 「平文を個別に提供する」からといって、「パスワード全体を平文で保持している」ことにはならない。保持データには暗号化されている。
パスワードのファイルは、可逆暗号化するだけでは不足であり、不可逆暗号化であるハッシュ化が必要だ、という見解がある。
可逆暗号化では、暗号化の解読が可能だが、ハッシュ化ならば、暗号の解読はできないからだ、という理屈だ。
→ https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2203/15/news172.html
しかし、それは正しくない。たとえハッシュ化しても、ハッシュ化の解読は可能である。
それには、次の方法を取る。
「文字列の組み合わせ(総当たり)のハッシュ化をしたリストを得る」
たとえば、 8桁以下の英字(大小)の組み合わせのすべてに対して、そのハッシュ化をしたリストを得る。
こうした一覧リストを得れば、ハッシュ化されたデータファイルから、元のパスワードを復元することが可能である。
※ 全員が復元できるわけではないが、8桁以下の英字をパスワードとしているユーザーに限っては、パスワードを復元することができる。
※ 詳しくは下記を参照。
→ https://qiita.com/gakuri/items/89ddc4fd9b39a884a305
――
問題は、それに要する時間だ。一体どのくらいの時間で「総当たりの一覧リスト」を得られるか?
それについては、ネット上で調べたところ、すでに調べた人がいた。下記だ。
→ https://qiita.com/ockeghem/items/5a5e73528eb0ee055428
これによると、かかる時間は、ハッシュ化の方法(レベル)しだいとなる。具体的には下記だ。(高性能の GPU を使った場合)
・ ハッシュ化が簡単な方法ならば、22分で一覧リストを得る。
・ ハッシュ化が複雑な方法ならば、62年で一覧リストを得る。
というわけで、結論としては、こうなる。
「ハッシュ化すれば、パスワードの復元が不可能だ、とは限らない。特に、低レベルのハッシュ化では、パスワードの復元は容易になされる。高レベルのハッシュ化ならば、たぶん大丈夫だが、スパコンを長時間使えば解読されてしまうレベルではある」
というわけで、「ハッシュ化すればパスワードの復元はされない」というのは、早計だとわかったことになる。
※ 英字だけでなく数字を混ぜたり、文字数を長くしたりすれば、強度は格段に強くなる。
※ 余剰な文字(管理者パスワード)を付け加えて、自動的に文字数を長くする手法がある。これを「ソルト」という。
→ https://it-trend.jp/encryption/article/64-0068
※ ソルトがあれば強靱になるが、ソルトがなければ強靱にならない。その意味で、「ハッシュ化をやりさえすれば大丈夫だ」とは一概には言えないわけだ。
