はてなキーワード: 暗号化とは
元エントリーの人がどこまで理解しているか不明だけど、自分が初心者だったときこういう説明がほしかったという話をしてみる。
暗号方式、特に公開鍵暗号の理解が難しいのはいくつか理由がある。
②素朴な利用例が少なく応用的な利用がいくつもある
また、ざっくりした概念以上のものをきちんと理解しようと思うと
④何がどのくらい安全で何がどのくらい危険かセキュリティ的な概念の説明
ここでは自分的にこういう順番で概念を把握していったという流れを書いてみる。
まず、物理的な錠前や書留郵便をイメージするのはあきらめてほしい。
あくまでもデジタルデータを別のデジタルデータに変換して再び元に戻すためのものだ。
公開鍵暗号登場以前は、パスワードを使って変換(暗号化)して、同じパスワードを使って元に戻す(復号化)という共通鍵暗号の時代が長く続いた。
それが暗号化のパスワードと復号化のパスワードで異なるものを使うという技術だ。
・特殊な数学的アルゴリズムでパスワード1から、それと対になるパスワード2を生成する
・パスワード1で暗号化したものがパスワード2で復号できるだけでなく、その逆つまりパスワード2で暗号化したものがパスワード1で復号できる(※)
今はその数学的アルゴリズムまで理解する必要はない。ただそういうことが可能になったというだけでいい。
パスワード1(秘密鍵)を自分以外が見られないように保管して、パスワード2(公開鍵)を通信相手に渡せば暗号通信ができそうということは理解できると思う。
ちなみにこのパスワードの長さは、プログラムで生成した100桁以上の数字が使われることが多く、それを定型的な千文字程度のテキストにして使われるのが一般的。
ツールで生成すると千文字程度のテキストファイルが秘密鍵用と公開鍵用の2個できる。
これだけの桁数なので暗号化復号化の計算はそれなりに時間がかかる。(※)
(※) このあたりは一般的な公開鍵暗号というよりRSA公開鍵暗号特有の話も混ざってます。詳しくは専門書参照
次にこの発明を使ったらどういうことができるだろうか、応用できる先を考えてみよう。
誰でも最初に思いつく例だけどシンプルすぎて共通鍵と変わらなくありがたみがない。
(b)僕にメッセージを送るときは僕の公開鍵で暗号化してね(いわゆる公開鍵暗号)
メッセージの送信先を間違って別人に送ってしまっても他人は読めないし、経路のどこかで盗み見や内容の一部を改竄されたりすることがない。
メッセージに返信するときは今度は「僕」ではなく相手の公開鍵を使って暗号化する。
(c)本文を毎回全部暗号化すると時間がかかるから共通鍵を君の公開鍵で暗号化したものを送るね。それを君の秘密鍵で復号したら以降は高速な共通鍵暗号で通信しよう(鍵交換)
共通鍵暗号の高速性というメリットを利用できて、かつ生の共通鍵がネットに流れるリスクを排除した良いとこ取りの方式。
(d)暗号化しない本文と、本文から計算したハッシュ値を秘密鍵で暗号化したものを送るね。公開鍵で復号化したハッシュ値がそっちで計算したハッシュ値と同じなら本文は改竄されてないよ。
それからこの暗号化は僕しかできないから確かに僕から送られた文書、僕から送られた内容であると保証できるよ。(電子署名)
この「電子署名」の実現により、さらに次のような応用が可能になる。
(e)ログイン時に毎回パスワードを打つと見られたりして危険だからユーザ名等に署名したものを送るね。公開鍵で復号(検証)OKならログインさせて(公開鍵認証)
(f)僕は信頼できるよ。これがAさんの署名入りのお墨付き。検証してみて。
Aさんは信頼できるよ。これがBさんの署名入りのお墨付き。検証してみて。
Bさんは信頼できるよ。これが世界一信頼できる人の署名入りのお墨付き。検証してみて。
(サーバ証明書)
前項のようなやりとりはほとんどアプリが自動的にやってくれるので、コンピュータ技術者以外の人が公開鍵や秘密鍵を直接扱う機会は現状ほとんどないと思う。
ウェブブラウザのアドレス欄に鍵マークが表示されていたらそれは鍵交換やサーバ証明書技術が使われていて、鍵マークを右クリックすると証明書を表示できる。
メールアプリでも最近は自動的に鍵交換やサーバ証明書が使われている。
もしメールアプリにPGPの設定オプションがあればそこで公開鍵と秘密鍵を設定すると特定の相手と本格的な暗号化メールがやり取り可能になる。
サーバ操作するコンピュータ技術者だと公開鍵認証もよく使われていて、ツールで生成した公開鍵をサーバに登録してログインに利用してる。
やっぱり日本郵便のクリックポストのサイトの認証局がおかしくて、
「TAIWAN-CA」と「GlobalSign nv-sa」が何のタイミングか分からないが切り替わってる感じがする。
認証局の種類って OS って関係あるの?(なんか言ってることがトンチンカンだが)って思うし、
「TAIWAN-CA」と「GlobalSign nv-sa」が何かのタイミングで入れ替わってる挙動が怪しいんだけど、
これってなんなの?
詳しい人いないですか?
clickpost.jp では、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。詳細
NET::ERR_CERT_COMMON_NAME_INVALID
clickpost.jp では通常、暗号化して情報を保護しています。今回、Google Chrome から clickpost.jp への接続試行時に、このウェブサイトからいつもとは異なる誤った認証情報が返されました。悪意のあるユーザーが clickpost.jp になりすまそうとしているか、Wi-Fi ログイン画面で接続が中断された可能性があります。データのやり取りが行われる前に Google Chrome によって接続が停止されたため、情報は引き続き保護されています。
clickpost.jp では HSTS が使用されているため、現在アクセスできません。通常、ネットワーク エラーやネットワークへの攻撃は一時的なものです。しばらくするとページにアクセスできるようになります。
Firefox はセキュリティ上の潜在的な脅威を検知したため、clickpost.jp への接続を中止しました。このウェブサイトには安全な接続が必要なためです。
どうすればいいですか?
clickpost.jp は HTTP Strict Transport Security (HSTS) と呼ばれるセキュリティポリシーが設定されおり、Firefox は安全な接続でしか通信できません。そのため、このサイトを例外に追加することはできません。
この問題はウェブサイトに原因があり、あなたにできることはありません。ウェブサイトの管理者に問題を報告するのもよいでしょう。
ウェブサイトは証明書で同一性を証明します。clickpost.jp は無効な証明書を使用しているため、Firefox はこのサイトを信頼しません。この証明書は次のドメイン名にのみ有効です: spay.com.tw, mp.spay.com.tw, mypay.tw, gw.mypay.tw, 39buy.co, biz.spay.com.tw, corp.spay.com.tw, qrcode.39buy.com.tw, query.onecardpass.com, zeapi.mypay.tw, zepay.mypay.tw, no.onecardpass.com, mgt.onecardpass.com
【追記】
俺は実は最近まで知らなかった。在日の(女性の)知り合いの話に出てきて知ったんだが……世の中の闇を覗き込んだような心地になったよ。
韓国でこの1、2年位か……大問題になっている事件。個人情報をネタに複数の女性を脅迫して心理的に支配し、自撮りや関係者を直接その女性のところに送り込みレイプするなどして撮影した画像・動画をネタにして、ロシア製のTelegramというインスタントメッセージ(暗号化でプライバシーを維持、全てのファイルフォーマットの送受信が可能)でチャットルームを作って公開する。チャットルームは1番、2番……のように複数作成され、好みの女性、より過激なコンテンツを求めるユーザが次々と複数のルームで金を落とすように作られていることから「n番部屋」と呼ばれているらしい。
世間では単一の事件と思われているようだが、実際には数十のチャットルームが乱立し続けているような状況だそうで、その中でも、
辺りが中心人物とされているらしい。大きく分けると「n番部屋系列」と「博士部屋系列」に分かれるということか。
とにかく、関わった人数があまりに多過ぎること(アカウントの重複を考慮しないと20万を超えるという話もあるが、実際には数万人程度が関わっているといわれている)、性的搾取の対象にされていた女性の多くが中学生位からの年齢層であること、運営者側も若い人物が多いこと、そして何より、このシステムを作った人物が未だ特定されていないこと……いやー、闇が深過ぎ。こんなことがあった、というか、あるんだなあ。
成りすましのメールに騙されてdocファイルを実行した同僚がいまして。Emotetでした。感染して時間もお金も掛かっています。
私は「パソコンに抵抗がない」で「なんちゃってシステム管理者」指名されとります。月1万手当ついてます。
会社は売上45億で事務所が5拠点でパソコン台数60台位な会社です。
1/14午後、「変なメールがきた」と同僚から。転送してもらったら、お得意様の経理からって風ですが、アドレス見ると明らかにオカシイ。
「これはウィルスメールですよ」と返事。「もう開けました?」「開けてません」って事だったのでその場は終わり。
1/15出社してウィルスバスターの管理画面見たら「ウィルス」「ウィルスの疑い」のパソコンが数台とサーバーも。
同僚問い詰めてもしょうがないので、まずはウィルスと思われるファイルを削除、削除、削除。
ウィルスバスターで検査しても「ウィルスの疑い」で削除してくれない感じ。
専門外ではあるが、日頃サポートしていただいてるシステム会社に報告し、レジストリから削除したして。
1/16出社して管理画面見るも復活してるし。でもうどうにもならんとシステム会社(専門外ではあるが)に正式に対応依頼
夕方にはあっちこっち「ウィルスの疑いあります」とウィルスバスターは言ってるのだけど削除してくれないのね。
1/17出社してサーバーみたら、ウィルスバスターアンインストール中でして。何事と。
サーバー3台あるんだけど、販売管理サーバーはその時は問題なくて、ドメインサーバー&グループウェアも入ってるが。
速攻システム会社に連絡して覗いてもらうも覗けないとの事で来てもらうことに。ここまで8時。
※ここで後悔たっぷりなのだけどシステム会社の人が来るまで、業務止めただけでした。LAN線抜いたら違ったのかなぁと。
診てもらったら、ドメインサーバーは暗号掛けられてた。グループウェア(つまりメール)使えなくなった。
販売管理ソフト入ってるサーバーも一部暗号掛けられて、販売管理ソフトは動かなくなった。
サーバーに直付けだったバックアップ用機器も暗号掛けられて役たたず。
もう1台、取引先電子取引ソフト&ファイルサーバー代わりのは無事で使えました。
その日、夕方にネットは使えるようになり、無事だったサーバーで納品は7割位はいつもどおりできた。販売管理ソフトにあった取引先はFAXで発注貰って納品
1/18・19と暗号解読を試みるも駄目。身代金みたいなメールは結局来なかった。
結局、グループウェアはマッサラなのを、販売管理ソフトは2018年4月までのデータ入りのがシステム会社にあって、それを使うことにした。
ウィルスバスター、今までは「ウィルスの疑い」で何もしなかったのに「駆除(Emotet)」で社内のパソコン安全になった。
1/20仮サーバー設置、これでメールは使えるようになった。が、過去メール無し、アドレス帳も無しで。
もちろん社員情報もマッサラなので最低限とはいえ、全員登録し。
販売管理も動くがデータが登録が最初。約2年分の取引先マスタを21日夕方までに入れた。
発注データもバックアップあったので、返信データが必要な取引先ように12月からのを全部取り込んでは削除で必要なデータだけ作成して。
販売管理ソフトも実質2年前のから追加ツール(軽減税率とか)加えて最新版になっただけど、印刷できないとか、印刷出力先が違う事務所になったして
数日はテンヤワンヤで。
俺のパソコンに溜めていた営業分析ツール用のデータが過去データ構築に使えるということになり。システム会社にツール依頼。
25締もそんなに件数ないのでそこは何とかなったが、末締めに向けて前回請求額等をマスタに登録。
末払もあるので支払先マスタを1社ずつ確認。web送金で事前に「こんな口座ない」とアラート出してくれるのはありがたかった(主に銀行合併で番号代わった支払先)
販売管理ソフトでは毎日夜間バッチで営業分析ツールであったり、在庫引き落としとかやってたのだけど。
マスタが落ちつくまでは日次更新は止めていて。サブツールとの連携ができないとかもあってなかなか実行できず。
経理在庫数&金額入力から始まったわけで。1/28から始めたのだけど、結局サブシステムとうまく連携できず、月初めに強制的に在庫を作った。
毎月3日には月次決算確定しないとって話で。
2月に入るとそれなりに動くようになったけど、とにかくデータが無いのが痛い。
「ひな祭り用のとか、データが無いと分析も提案もできないって事で営業さん達はそうとう苦労したに違いない。
俺も結局手持ちの過去の営業資料から昨年分の売上仕入データを作って公開しました。そのデータ日付が入って無くて、マクロで自動付加とか何とか締切には。
請求は月末締にはサーバー動かなくなった1/17以前の売上もないと作れないので。
データを作ってシステム会社に販売管理のデータベースにいれてもらい、20日締めはエクセルだからそれも勘案してのとか。
2月に入って20日締や末締の、特に入金漏れはあって。これもしょうがないんだけど。
請求書出すのにも相手の発注番号が必要な取引先もいて。そこは1月中から地道にほぼ手打ちで構築し。
成りすましメール開いちゃった同僚は「なんでもやります」って任せた仕事もあったけど、間違いも多くて。それもしょうがない。
14日以内なら約300万。失敗しても150万
でやめた。
で200万払う事になった。
ちなみにこの間の残業時間。俺は1/21~2/20で150時間になった。
社長から事務と俺には特別手当も出て、残業代と合わせたら夏のボーナス位になった。
2/21~3/20は正直に書くと90時間位。報告は78時間としましたが。
データが無いのがね、本当に面倒でしたし、
今日も俺は通常業務をこなしつつ、私物パソコンで営業資料昨年6月分を、
システム会社は今日昨年4月、明日5月の売上仕入データを販売管理ソフトに入れてくれる。
会社のファイルサーバーやEOS/EDIソフトが無傷だったのは奇跡に近いと思うけど
(社長の知り合いでもっ酷い事になったトコがあるらしい)
・バックアップ、それなりに別の場所(USBとか)にしていれば
・販売管理ソフトが入ってるサーバーは販売管理は動かないかもだけど別のフォルダのファイルはアクセス出来てて、
でもシステム会社にデータ取り出しを念押ししなかったので勤怠データとか雇用契約書のデータ全部消去されてしまい。
グループウェアに登録していた10年以上の顧客リストとかそれぞれのメール(容量300M)も全部消えたし。
会社的には人件費含めると300万以上の出費になったはず。防げなかった自分が情けないですわ。
で、ヘロヘロになった。2月中旬に人間ドックでしたが胃から出血してて、薬もらいました。今は大丈夫だと思うけど。
運用はまだ元に戻ってなくて、夜間の自動バッチが動かないので手動で毎日21~23時の間に遠隔でサーバー動かして。
皆さんくれぐれも成りすましメールには気をつけて。
なんで原因の同僚が18時に帰って、俺はリカバリー作業で毎晩22時帰宅なんだって。怒りは最初からありませんが。俺的にはその人残念な人なので。
ChromeのCookieは暗号化保存されるようになったらしい
https://qiita.com/taizan_hokuto/items/bff1a1ccd65655e1c386
https://www.itmedia.co.jp/enterprise/articles/1308/09/news038.html
つってたじゃん
Cookieはそうではないとでも仰られるつもりか?
そもそもCookie暗号化っても鍵を見えるところに置いてるだろうが
Torで身元消し
ポートの穴探し
セキュリティ解除
log停止
grep *桜*
なければ復元
→世紀のスクープネタのため、極秘情報の相場的に5000万位?(CUOのWHK談)
セキュリティ戻す
ログ再開設定
切断
等は今どき効かないですよね。
ファイルサーバを破棄しなかったら、捜査で120%復元できますよね。
現代では削除しても簡単に復元できてしまいます。税金バラまき宴に忙しい道長には、暗号化という知恵はないでしょうしね。
税金で美味い飯食うのって、
どんな味がするんでしょうね。皆さん。