はてなキーワード: 暗号化とは
Wikipediaで真珠湾攻撃の記事を読むと、昔の日本人は無能だったことが分かります。
失敗は他人のせいにして、誰も責任を取らない姿勢は今も昔も変わりがないでしょうか?とても残念です。
https://anond.hatelabo.jp/20220319102718
「リメンバー・パールハーバー」というのは単に「真珠湾を思い出せ」というだけの意味ではなく、人類史上最悪の戦争犯罪である原爆投下を正当化するための合言葉なんだよな。これもまた「犬笛」なんだよ。だから日本人は怒ってるわけ。
東郷から駐米大使の野村吉三郎宛に、パープル暗号により暗号化された電報「昭和16年12月6日東郷大臣発野村大使宛公電第九〇一号」は、現地時間12月6日午前中に大使館に届けられた。
「帝国政府ノ対米通牒覚書」は現地時間午後2時20分に特命全権大使の来栖三郎と大使の野村吉三郎より、国務省において国務長官のコーデル・ハルに手交された。
宣戦布告の通知書を相手国に届けるのが遅れてしまい、結果的に奇襲攻撃になってしまいました。
事前に宣戦布告ができなかったので、日本はただの卑怯者になりました。
一事が万事。計画が杜撰だったので最初から失敗。日本が負けるべくして負けた戦争でした。
肝心なところで失敗するのは、やはり頭が悪いからという他ありません。大変残念なことです。
1994年11月20日に外務省は当時の調査委員会による調査記録「昭和16年12月7日対米覚書伝達遅延事情に関する記録」を公開した。
この調査などに基づく通説では、6日夜に大使館員が南アメリカへ転勤する寺崎英成の送別会をメイフラワー・ホテルの中国料理店で行っていたこと、奥村が送別会後も大使館に戻って浄書を行わず知人の家にトランプをしに行っていたこと、奥村の英訳親書の浄書・タイプが遅れたこと、14分割目に「大至急」の指示が付されておらず「帝国政府ノ対米通牒覚書」[257]本文の続きであることがわからなかったことなどが原因であるとされている。(この外務省調査は本来行うべき外務省からの発信時刻を調査対象から外しており、その点に大野は疑念を呈している。)
このような大使館のミスによる失態であるとの通説に対して、奥村とともに責任を問われることがある大使館総括参事官の井口貞夫は生前に「自分の管掌事務ではなく、この対米通告が宣戦布告だとは承知していなかった」と主張していた。
またその息子である井口武夫元ニュージーランド大使も、彼自身の調査研究の結果として外務省本省が負うべき落度を現地大使館に責任転嫁しているとして、奥村書記官を含めて大使館側に失態はなかったと主張している。
真珠湾攻撃の2日後の12月9日には、ポートランドのオレゴニアン紙で、アラモの戦いでのスローガン「Remember the Alamo!(アラモを忘れるな)」を改題した「REMEMBER PEARL HARBOR!(真珠湾を忘れるな)」とのフレーズが早くも登場している。
ルーズベルトが汚名演説で、日本の行為を「恥知らずな蛮行」や「背信行為」と激しく非難するなど、アメリカ政府が真珠湾攻撃を「だまし討ち」と喧伝することによってアメリカ国民の愛国心はさらに高まることとなり、「REMEMBER PEARL HARBOR!」というフレーズはたちまちアメリカ全土を席巻する国民的スローガンとなった。
ウクライナのゼレンスキー大統領は、アメリカの議会で「真珠湾攻撃を思い出せ」と訴えています。
日本人は、過去の失敗から教訓を得て、同じ失敗を繰り返さないよう賢明になるしかありません。
しかし、アメリカが広島と長崎に原爆を落として、大量の非戦闘員を殺したのは戦争犯罪です。
「REMEMBER PEARL HARBOR!」は「REMEMBER HIROSHIMA!」「REMEMBER NAGASAKI!」とセットで覚えておくべきです。
アメリカが日本に原爆を使ったのは戦争犯罪であるのと同様に、ロシアがウクライナに原爆を使うのは戦争犯罪なのでやめるべきだとゼレンスキーは日本の国会で主張するべきでしょう。
日本の国会における演説では、日本人向けに「核兵器の使用は戦争犯罪である」「核兵器を所持する者、核兵器を使用する者は人類の敵である」と明確に主張してください。
暗号化っていうのは
「情報の正しさを照合できる」
っていう技術
なので
っていうのは嘘で
が正しい
平文を暗号化してサーバに保存している場合は、結局は鍵をサーバに預けているので、信頼情報がユーザの手を離れてしまっている
って言われても家の鍵を大家に預けているのと同じ状態で家の中に100億円置いてるような人だと信用に足らない
じゃぁ例えばユーザにその鍵を預けておいて、認証の度に渡すようにしよう!なんていうことをやっても
鍵はデジタル情報だから簡単にコピー可能(追跡不可能)なので一度でも渡したら信用価値はゼロになる
ちなみにこれはハッシュ化でも同じ話で、ハッシュ値をサーバに保存していても平文を送りつけてハッシュ値をサーバで計算していたら意味が無い
ユーザ側でハッシュ値を計算して送りつける方法なら多少は意味があるけれど、結局は鍵がハッシュ値に変わっただけなので通信傍受されたらダメ
なのでダイジェスト認証っていう仕組みを使うので興味がある人は調べて欲しい
ということで、暗号化をしても結局は鍵の扱いに困ることになる
ログインで知りたいのはパスワードそのものではなくて「パスワードを知っているかどうか」だけ
なので、ハッシュ化を使って「パスワードを知っていたらハッシュ値も当然知ってるよね・・・?」っていう感じの認証を行う
ここで大事なのはハッシュ化っていうのは秘匿情報はユーザの側にあってサーバ側に渡していない、ということ
なのでプログラムをこねくり回しても原理的には元のパスワードは分からないしそれが基本
そこに「でも単純なパスワード使ってる人がいるかも?」「使い回している人がいるかも?」っていう悪知恵で攻撃してくる人がいるので
あと、秘匿情報がユーザ側にある、といってもどうせスマホとかPCに保存されているのでそっちをクラックされると漏洩する
なので基本的に鍵は脳内に保存した文字列か生体認証、もしくはデバイス認証を使う
この辺はパスワードマネージャーを使っていてもマスターパスワードが必要になるのと同じ
ここまでがセキュリティ講習の1日目の午前中の話
あーーーほ
暗号化しても平分で持ってても、ようはDBにアクセスされてる時点でハッキングされてるわけ。
そんなときに暗号化しておくともしかしたらパスワード悪用される前に時間稼ぎができるかもしれん。
そして強力なハッシュ+ソルト+ストレッチングするっていう、「現代のデファクトスタンダード」な運用なら一番その時間稼ぎができるわけ。
そもそもDBが完全無欠に守れる自身があるなら平分で保存でもいいわけなんだけど、んなわけねーだろ。万が一流出したときのダメージコントロールのためにハッシュカルル訳?ソコンところ理解できてないから、
安全化どうか?みたいなアホな観点でしかものを語れないわけよ。アホたれ
だからパスワードハッシュおもらししたら、直ちにおもらししたことを報告して、その間にハッシュでパスワード解読時間を稼いでる間に、おもらしされたユーザーは万が一他のサービスで同じパスワード使ってるとかいうアホなことしてたら、対応するわけよ。わかる?
まあでも、そもそも他のサービスでもパスワード流用してるタイプのアホは、そんな事しねーよみたいな気持ちもあるな。
そしたらそもそも、平文でほぞんしててもいいような気がしてきたけど、ハッシュで管理してて、アカウントの数が何千万とかあればだよ。
自分のアカウントのパスワードの解読まで一生かかっても作業が回ってこない可能性もあるので、事実上安全っちゃ安全かもしれない。
でもハッキング対象のアカウントが決め打ちでキメられてるなら、スパコンとか使って意地でも特定アカウントのパスワードを割り出すみたいな作業は可能かもれない。
だからってそれは、平文で保存したり、暗号化していい理由には並んと思ってて、
完全に安全にパスワードを管理することは無理だけど、限りなく安全に近い形で取り扱うことのできるハッシュ化(当たり前だけどそこには強力であること+個別のソルと使うこと+ストレッチングが含まれる)をするのは当然であって、
ハッシュが安全かどうかとか言ってる時点で、そもそもの何が問題で、なぜハッシュが良いとされているのか、なぜハッシュがデファクトで使われているのかってのをまるで理解してないと思う
そうやって表面だけの技術情報をなぞっただけでわかったような気持ちで文章書いてる時点で、自分の知識に対する過剰な自信と、慢心が溢れ出してて嫌いです
https://www.itmedia.co.jp/news/articles/2203/15/news172.html
ドコモ・ソフトバンクのパスワード平文提示問題が話題になっていたが、その中のコメントが理解できていないのがで教えてほしい。
「パスワードを暗号化して保持していても、復号できるなら平文保持と同じ」旨のコメントがいくつかあったのだが、これはどういった理由なのだろうか?
暗号化パスワードが流出しても、十分な強度を持った暗号化方式を利用している限り、鍵が分からなければ復号できないはずだ(方式によってはIVも)
この鍵が容易に解析できるといっているのだろうか?
それとも、サーバで保持しているであろう鍵も盗めるからダメと言っているのだろうか?
そうであればそれは鍵の管理方法次第で、プログラム内に保持しているもしくはユーザ情報(ネットワーク認証コード等)をもとに毎回生成している等であれば問題ないはずだ。
メモリ上の鍵や生成方法も盗まれるからダメという話であれば、それはハッシュ化したところで同じ問題が発生するはずだ。
ハッシュ化されたパスワードでも、ソルトやストレッチング回数を盗みさえすればある程度時間をかければデハッシュできてしまう。
これだけで押し通せば間違ってなかったと俺も思うけど
「ハッシュ化だって万全じゃないし!」とか言い始めるのがダサいんだよ
それはみんな知ってる
「ハッシュ化さえすれば万全だ」
とは誰も言ってない
そもそも、DBファイルが平文でなく暗号化されているということを指摘して、事実報道の誤りを指摘したのが、元コメントだ。
それに対して、「正しいデータ保護には暗号化ではなくハッシュ化が必要だ」という方法論を持ち出しているのが、きみたちだよ。全然話の次元が違うだろ。話が噛み合っていない。
要するに、人の話を理解できないで、自分の話ばかりをしている。ただのコミュ障だろ。相手が何の話をしているかを知れ。「正しいデータ保護の仕方」というのは、きみの関心であるだけだ。元の話ではそんなことには言及していない。
「DBファイルの暗号化ファイルが平文ではないという話をしているなら、ハッシュ化の話をするべきだ。ハッシュ化こそが大事であって、これを書かなくては駄目だ。ハッシュ化の話をすれば、それでいい。だけど、レイボーテーブルやソルトの話はしなくてもいい」
本当にそう書いてるならそれを引用すればいいのに、さっきから「こう言われた」っていう自分の解釈ばっかり
blueboyってほんとしょうもないね
> ってことでいい?
全然ダメだね。勝手に歪曲している。(誤読して改変している。)
だ。これに対して、
「DBファイルの暗号化ファイルが平文ではないという話をしているなら、ハッシュ化の話をするべきだ。ハッシュ化こそが大事であって、これを書かなくては駄目だ。ハッシュ化の話をすれば、それでいい。だけど、レイボーテーブルやソルトの話はしなくてもいい」
「ハッシュ化だけじゃ駄目だよ。レイボーテーブルやソルトまでやらないと、十分ではないよ」と教えてから、「だけどブコメでは字数制限があるんだから、書けなくても仕方ないね。それはおたがいさまだよ」
と教えて上げている。
なのにきみたちは、「100字以内で ハッシュ化と レイボーテーブルと ソルトまでわかりやすく説明しないやつは、ど素人だ」と文句を言っているんだよ。自分のことを棚に上げて。
> たとえ話のこのくだりは、どれに当たるんだ
元コメントだと明示してあるだろ。元記事の次のコメントだよ。引用すると:
> 「平文を個別に提供する」からといって、「パスワード全体を平文で保持している」ことにはならない。保持データには暗号化されている。
パスワードのファイルは、可逆暗号化するだけでは不足であり、不可逆暗号化であるハッシュ化が必要だ、という見解がある。
可逆暗号化では、暗号化の解読が可能だが、ハッシュ化ならば、暗号の解読はできないからだ、という理屈だ。
→ https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2203/15/news172.html
しかし、それは正しくない。たとえハッシュ化しても、ハッシュ化の解読は可能である。
それには、次の方法を取る。
「文字列の組み合わせ(総当たり)のハッシュ化をしたリストを得る」
たとえば、 8桁以下の英字(大小)の組み合わせのすべてに対して、そのハッシュ化をしたリストを得る。
こうした一覧リストを得れば、ハッシュ化されたデータファイルから、元のパスワードを復元することが可能である。
※ 全員が復元できるわけではないが、8桁以下の英字をパスワードとしているユーザーに限っては、パスワードを復元することができる。
※ 詳しくは下記を参照。
→ https://qiita.com/gakuri/items/89ddc4fd9b39a884a305
――
問題は、それに要する時間だ。一体どのくらいの時間で「総当たりの一覧リスト」を得られるか?
それについては、ネット上で調べたところ、すでに調べた人がいた。下記だ。
→ https://qiita.com/ockeghem/items/5a5e73528eb0ee055428
これによると、かかる時間は、ハッシュ化の方法(レベル)しだいとなる。具体的には下記だ。(高性能の GPU を使った場合)
・ ハッシュ化が簡単な方法ならば、22分で一覧リストを得る。
・ ハッシュ化が複雑な方法ならば、62年で一覧リストを得る。
というわけで、結論としては、こうなる。
「ハッシュ化すれば、パスワードの復元が不可能だ、とは限らない。特に、低レベルのハッシュ化では、パスワードの復元は容易になされる。高レベルのハッシュ化ならば、たぶん大丈夫だが、スパコンを長時間使えば解読されてしまうレベルではある」
というわけで、「ハッシュ化すればパスワードの復元はされない」というのは、早計だとわかったことになる。
※ 英字だけでなく数字を混ぜたり、文字数を長くしたりすれば、強度は格段に強くなる。
※ 余剰な文字(管理者パスワード)を付け加えて、自動的に文字数を長くする手法がある。これを「ソルト」という。
→ https://it-trend.jp/encryption/article/64-0068
※ ソルトがあれば強靱になるが、ソルトがなければ強靱にならない。その意味で、「ハッシュ化をやりさえすれば大丈夫だ」とは一概には言えないわけだ。
Googleドライブを暗号化したいがboxcryptorとcryptomatorどっちを使えばいいか分からん
ドライブは主に写真を保存していて、いちいちpc起動するのも面倒だからiPhoneから手軽に見られるようにしたい
アプリ版で使い勝手がいい方を知りたいんだがcryptomatorのアプリ版が1480円もするから先に使用感を知っておきたい boxcryptorは使ってみたがファイルアプリと連携して動かす感じだったからイマイチだった
MEGAとかsyncみたいな匿名性高いクラウドに変えるっていうのもアリだけどiOSアプリの使用感が一番のポイントだからそいつらも使ったことがある人は使用感について教えてほしいです お願いします。