はてなキーワード: 暗号化とは
https://www.itmedia.co.jp/news/articles/2203/15/news172.html
ドコモ・ソフトバンクのパスワード平文提示問題が話題になっていたが、その中のコメントが理解できていないのがで教えてほしい。
「パスワードを暗号化して保持していても、復号できるなら平文保持と同じ」旨のコメントがいくつかあったのだが、これはどういった理由なのだろうか?
暗号化パスワードが流出しても、十分な強度を持った暗号化方式を利用している限り、鍵が分からなければ復号できないはずだ(方式によってはIVも)
この鍵が容易に解析できるといっているのだろうか?
それとも、サーバで保持しているであろう鍵も盗めるからダメと言っているのだろうか?
そうであればそれは鍵の管理方法次第で、プログラム内に保持しているもしくはユーザ情報(ネットワーク認証コード等)をもとに毎回生成している等であれば問題ないはずだ。
メモリ上の鍵や生成方法も盗まれるからダメという話であれば、それはハッシュ化したところで同じ問題が発生するはずだ。
ハッシュ化されたパスワードでも、ソルトやストレッチング回数を盗みさえすればある程度時間をかければデハッシュできてしまう。
これだけで押し通せば間違ってなかったと俺も思うけど
「ハッシュ化だって万全じゃないし!」とか言い始めるのがダサいんだよ
それはみんな知ってる
「ハッシュ化さえすれば万全だ」
とは誰も言ってない
そもそも、DBファイルが平文でなく暗号化されているということを指摘して、事実報道の誤りを指摘したのが、元コメントだ。
それに対して、「正しいデータ保護には暗号化ではなくハッシュ化が必要だ」という方法論を持ち出しているのが、きみたちだよ。全然話の次元が違うだろ。話が噛み合っていない。
要するに、人の話を理解できないで、自分の話ばかりをしている。ただのコミュ障だろ。相手が何の話をしているかを知れ。「正しいデータ保護の仕方」というのは、きみの関心であるだけだ。元の話ではそんなことには言及していない。
「DBファイルの暗号化ファイルが平文ではないという話をしているなら、ハッシュ化の話をするべきだ。ハッシュ化こそが大事であって、これを書かなくては駄目だ。ハッシュ化の話をすれば、それでいい。だけど、レイボーテーブルやソルトの話はしなくてもいい」
本当にそう書いてるならそれを引用すればいいのに、さっきから「こう言われた」っていう自分の解釈ばっかり
blueboyってほんとしょうもないね
> ってことでいい?
全然ダメだね。勝手に歪曲している。(誤読して改変している。)
だ。これに対して、
「DBファイルの暗号化ファイルが平文ではないという話をしているなら、ハッシュ化の話をするべきだ。ハッシュ化こそが大事であって、これを書かなくては駄目だ。ハッシュ化の話をすれば、それでいい。だけど、レイボーテーブルやソルトの話はしなくてもいい」
「ハッシュ化だけじゃ駄目だよ。レイボーテーブルやソルトまでやらないと、十分ではないよ」と教えてから、「だけどブコメでは字数制限があるんだから、書けなくても仕方ないね。それはおたがいさまだよ」
と教えて上げている。
なのにきみたちは、「100字以内で ハッシュ化と レイボーテーブルと ソルトまでわかりやすく説明しないやつは、ど素人だ」と文句を言っているんだよ。自分のことを棚に上げて。
> たとえ話のこのくだりは、どれに当たるんだ
元コメントだと明示してあるだろ。元記事の次のコメントだよ。引用すると:
> 「平文を個別に提供する」からといって、「パスワード全体を平文で保持している」ことにはならない。保持データには暗号化されている。
パスワードのファイルは、可逆暗号化するだけでは不足であり、不可逆暗号化であるハッシュ化が必要だ、という見解がある。
可逆暗号化では、暗号化の解読が可能だが、ハッシュ化ならば、暗号の解読はできないからだ、という理屈だ。
→ https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2203/15/news172.html
しかし、それは正しくない。たとえハッシュ化しても、ハッシュ化の解読は可能である。
それには、次の方法を取る。
「文字列の組み合わせ(総当たり)のハッシュ化をしたリストを得る」
たとえば、 8桁以下の英字(大小)の組み合わせのすべてに対して、そのハッシュ化をしたリストを得る。
こうした一覧リストを得れば、ハッシュ化されたデータファイルから、元のパスワードを復元することが可能である。
※ 全員が復元できるわけではないが、8桁以下の英字をパスワードとしているユーザーに限っては、パスワードを復元することができる。
※ 詳しくは下記を参照。
→ https://qiita.com/gakuri/items/89ddc4fd9b39a884a305
――
問題は、それに要する時間だ。一体どのくらいの時間で「総当たりの一覧リスト」を得られるか?
それについては、ネット上で調べたところ、すでに調べた人がいた。下記だ。
→ https://qiita.com/ockeghem/items/5a5e73528eb0ee055428
これによると、かかる時間は、ハッシュ化の方法(レベル)しだいとなる。具体的には下記だ。(高性能の GPU を使った場合)
・ ハッシュ化が簡単な方法ならば、22分で一覧リストを得る。
・ ハッシュ化が複雑な方法ならば、62年で一覧リストを得る。
というわけで、結論としては、こうなる。
「ハッシュ化すれば、パスワードの復元が不可能だ、とは限らない。特に、低レベルのハッシュ化では、パスワードの復元は容易になされる。高レベルのハッシュ化ならば、たぶん大丈夫だが、スパコンを長時間使えば解読されてしまうレベルではある」
というわけで、「ハッシュ化すればパスワードの復元はされない」というのは、早計だとわかったことになる。
※ 英字だけでなく数字を混ぜたり、文字数を長くしたりすれば、強度は格段に強くなる。
※ 余剰な文字(管理者パスワード)を付け加えて、自動的に文字数を長くする手法がある。これを「ソルト」という。
→ https://it-trend.jp/encryption/article/64-0068
※ ソルトがあれば強靱になるが、ソルトがなければ強靱にならない。その意味で、「ハッシュ化をやりさえすれば大丈夫だ」とは一概には言えないわけだ。
Googleドライブを暗号化したいがboxcryptorとcryptomatorどっちを使えばいいか分からん
ドライブは主に写真を保存していて、いちいちpc起動するのも面倒だからiPhoneから手軽に見られるようにしたい
アプリ版で使い勝手がいい方を知りたいんだがcryptomatorのアプリ版が1480円もするから先に使用感を知っておきたい boxcryptorは使ってみたがファイルアプリと連携して動かす感じだったからイマイチだった
MEGAとかsyncみたいな匿名性高いクラウドに変えるっていうのもアリだけどiOSアプリの使用感が一番のポイントだからそいつらも使ったことがある人は使用感について教えてほしいです お願いします。
最近マッチングアプリで知り合った女の子にインスタで話したいと言われて渋々アプリ入れたんだけど良いなこれ。
まず複数のデバイスで使えるのが良い。LINEだと1台しか持ってなくてもデータ移行失敗やデバイス破損によるデータ紛失リスクがあるのでこれはありがたい。
スタンプの代わりにGIFを無料で簡単に貼れるのも良い。LINEのスタンプほどリアクションに特化してないが、LINEのスタンプは昔の着うたのような不必要さを感じるのでこれくらいで丁度良い。
一番驚いたのは複数アカウントで使うこと前提みたいな作りになってる事。メッセージ一覧画面に新しいアカウントを作りましょうみたいなバナーが表示されてたので試しに作った結果、自分のプロフィールアイコンをダブルタップする事でシームレスにアカウントを切り替えられるようになった。これ良い。最悪仕事で使うにしても公私混同を避けられてLINEよりはマシだろう。
あとデフォルトでのエンドツーエンド暗号化も対応予定だそうだ。
まあでもLINEは社会インフラと呼ばれるくらいだし、利点がある程度ではメインストリームにはなれないんだろうけどね・・・。
署名の有効性に関して、事務局が本人確認を怠った事に謝罪が無いとか、後からでも良いので本人確認するべきとか言われてますけれども。
そもそもあのオープンレターの署名、正当な手続きでの署名ではないので、署名の部分は無効なんですよね。
元々署名とは
民事訴訟法228条
(省略)
また、
平成十二年法律第百二号電子署名及び認証業務に関する法律
https://elaws.e-gov.go.jp/document?lawid=412AC0000000102
が発令される際に、2020年9月4日、総務省・法務省・経済産業省の連名により、「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法第3条関係)」というものが公表されましたが、その中に「固有の要件」が満たされる場合には立会人型の電子契約でも真正に成立する、とされています。
https://www.meti.go.jp/covid-19/denshishomei_qa.html
例のオープンレターはGoogle Form使ったらしいけど、あれだと匿名で署名できてしまうし、主催者に投稿者情報はわたらないしでこの要件を満たしません。
せめてchange.org使えば、二要素認証はあるし、万一なりすましがあっても主催者のみに署名者の連絡先が公開されるので、身元確認は後からでも可能。
証跡を追える方法を確立できているか、という点が重要なところです。
ということで、そもそも例のオープンレターは署名として私文書の成立要件を満たしておらず、単なる数名の意見表明文書くらいの位置付けにしかならないんですよね。
あの文書が元で呉座先生が要職を辞されたという話もあるけど、数名の意見表明に左右されてしまって可哀想な気もします。
例のオープンレター、署名として成立させたいなら、今の方法では(署名部分は)全てが無効であり再度署名を取り直すしかありません。
今から本人確認やりなおそうが連絡先を追えないので不可能ですし、事務局が説明したところでそもそも効力無いので意味がりません。
実際に署名したよ!という方々もいらっしゃるとは思いますが、そもそも無効な手段によって集められた署名なので、署名としての有効性は最初から無かったわけです。残念。
ということで、今後Google Formで署名を集めてる文書にサインしようとするまえに、事務局に「その方法だと署名として成立しませんよ」とそっと教えて差し上げましょう。
オープンレターの本文自体の問題点については様々な方からご指摘がなされていますので、本文自体も見直して署名の取り直しをオススメいたします。
追伸.
署名としての効力は無いと言ってるだけで、オープンレター自体は有効も無効も無く「単なる数名の意見表明」と見なされる、というのが本文の趣旨です。
(私の書き方がまずい部分があったので、一部修正。文書全体ではなく署名部分が無効、という記載に統一します。ご指摘ありがとうございました)
https://twitter.com/kuina_ch/status/1474728599299432448
暗号化やデータ圧縮を手で行うような問題から始まり、独立して動く2つの生き物が 同時に入れない共用の場所を駆使して目的を達成するという "同期処理のプログラミング" までありました
本当にこれからは「ちょっとしたIT化」ならスッとできるやつが増えるんじゃね?そしたら日本企業結構強くなっていくんじゃないかな。
とりあえず日本のすることはバカなはずだから叩いとけみたいなやつらがいかに足を引っ張っていたかがこれから明らかになっていきそう。
お前らは精々新しくいらっしゃるネイティブ世代の邪魔だけはしないように生きていくように。給料だって実力主義の流れなんだからもう新しくいらっしゃるネイティブ世代に負けるよ。文句言わないようにね。
VDI(仮想デスクトップ)代替ソリューションの分類や、それぞれの仕組み、検討ポイントなどを解説する本連
載「テレワーク時代のWeb 分離入門」。 第1 回、第2 回でテレワークと Web 分離の方式の特徴を解説しました。
今回のゴール
用途の観点で各方式を分類すると下図のようになりますが、どんな組織にも共通する「おススメの方式」はあ
りません。
(出典:ネットワンシステムズ)
今回は、読者の皆さんが自組織にマッチする方式を選定できる状態をゴールとして、「結局、 どれを選べばいい
のか」という疑問に回答します。
フローチャートで分かる、
VDI 代替ソリューションの分類や、それぞれの仕組み、検討ポイントなどを解説する連載。最
終回は、VDI 代替ソリューションの方式選定における 4 つのポイントを解説して、各方式を比
較します。
(2021 年03 月04 日)
26 →目次に戻る
これまで多くのユーザーと会話してきた経験から、おおよそのケースで次の4 つのポイントに論点が集約されます。
2. データを処理するマシンがローカルマシンで大丈夫かどうか
これらを基に、方式選定に使えるフローチャートを作ってみました。
(出典:ネットワンシステムズ)
「 ブラウジングだけを安全に実行できればよいのか、それともブラウザ以外のアプリも安全に利用させたいのか」
テレワーク用途では、前者でよければセキュアブラウザ方式に、後者でよければそれ以外の方式にふるい分け
できます。Web 分離用途では、前者が仮想ブラウザ方式、後者がそれ以外の方式となります。
27 →目次に戻る
【ポイント 2】データを処理するマシンがローカルマシンで大丈夫かどうか
次に、「 情報漏えい対策をどこまで強固なものにしたいか」という観点での要件です。
プログラムの実行環境が手元のPC となる場合、データも手元のPC に保存されます。つまり、手元のPC を
「 ディスクを暗号化している、生体認証を有効にしている、だから大丈夫」と言い切れるならいいかもしれません
が、「技術の進歩によって将来的に突破されるかもしれない」といった懸念を払拭(ふっしょく)できない場合、仮
想デスクトップ方式やリモートデスクトップ方式のように、遠隔にあるマシン上で作業できる仕組みを導入する必
要があります。
その一方、将来の懸念よりも、例えばコストなど別の部分を重視したい場合は、会社PC 持ち帰り方式(VPN
なお一般的に、リモートデスクトップ方式とVPN 方式はテレワーク用途のみで導入されますが、仮想 デスクトッ
プ方式とアプリラッピング方式は、テレワークと Web 分離、どちらの用途にも利用できます。
【ポイント 3】データを処理するマシンが物理PC で大丈夫かどうか
【 ポイント 2】で「遠隔にあるマシン上で作業させたい」となった場合は、3 番目の検討事項として、業務継続
性を考えるとよいでしょう。
リモートデスクトップ方式の場合、社内の自席にPC が物理的に存在することが前提です。そのため、自席 PC
一方、仮想デスクトップ方式の場合、マシンが仮想化されており、多くの環境において仮想マシンが動作してい
るサーバ群はn +1 などの方式で冗長化されています。そのため、非常に強い障害耐性があります。
障害耐性を高めたい場合は、仮想デスクトップ方式がベストです。業務が停止するなどのリスクを運用でカバー
できる場合は、リモートデスクトップ方式を選ぶことになるでしょう。
28 →目次に戻る
【 ポイント 2】で「手元のマシン上で作業させてもOK」となった場合、3 番目の検討事項として、再度情報漏
えい対策について考えます。【 ポイント 2】では、PC ごとデータが盗まれてしまった場合を想定しましたが、ここ
手元のPC でプログラムを実行するということは、つまり「端末の脆弱(ぜいじゃく)性を突いたゼロデイ攻撃
を受けるリスクが存在する」ことです。脆弱性を突いた攻撃を受けると、多くの場合、情報を抜き取られてしまい
ます。
従って、例えば VPN 方式を導入する場合、「EDR(Endpoint Detection and Response)で脆弱性攻撃対
策を実装する」「端末のロックダウン化によってデータを保存させない」「実行できるプログラムを制限する」「屋
外の公衆Wi-Fi を利用できないように制限する」「多要素認証を導入する」などの対策を併せて導入する必要が
あります。
このような徹底した対策を継続して運用できる組織に限っては VPN 方式も有効な選択肢ですが、筆者としては
VPN 方式は安価かつ容易に導入できるので、昨今のテレワーク需要が高まる状況では、多くの組織で上記のよ
うな徹底した対策を取らずに導入してしまったと思います。取 り急ぎの暫定処置としてVPN 方式を導入してしまっ
た場合は、これを機に腰を据えて見直してみてはいかがでしょうか。
• 参考リンク:日本経済新聞「在宅時代の落とし穴 国内38 社がVPN で不正接続被害」
また、国内に限った話ではありませんが、Verizon Communications のレポートによると、やはりVPN トラ
フィックが増加傾向にあるようです。VPN 方式の普及に伴って、悪意ある攻撃者による被害数も増加すると思い
ます。
• 参考リンク:Verizon Communications「Verizon Network Report」
29 →目次に戻る
ここまで、要件をベースとした考え方を記載しました。選定すべき方式が大まかに見えてきたところで、ここか
らはそれぞれの方式を横に並べて、共通の項目に沿って比較します。
この比較によって、方式選定の次のステップとなる製品選定において「見落としがちな落とし穴を見つけて対策
を考える」といった検討を具体的に進めることができると思います。
以降の表の見方を説明しておきます。緑塗りのセルがポジティブな内容、赤塗りのセルがネガティブな内容、黄
塗りのセルはどちらともいえない内容です。また、それぞれの表の下部には、主に赤塗りのセルに関する特記事項
なお単純に、緑塗りセルの多い方式が優れているわけではありません。対象業務の内容やコスト、運用体制、セ
キュリティ、業務継続性など、いろいろな観点からトレードオフで方式を選定することになります。
できる作業
(出典:ネットワンシステムズ)
仮想ブラウザ方式とセキュアブラウザ方式では、例えばファイルサーバの操作といった、ブラウザ以外のアプリ
は使えません。多くの場合、Windows の統合認証など Windows に依存する機能も利用でません。
また、印刷に関しても確認が必要です。製品ごとにサポート内容に差が出るポイントなので、方式選定の次の
30 →目次に戻る
(出典:ネットワンシステムズ)
会社PC 持ち帰り方式(VPN 方式)とリモートデスクトップ方式は、端末のアップデート、故障時の交換など、
端末台数が増えるに従って、それに対応できる人員数を確保する必要があるので、運用コストが増大する傾向に
あります。
その半面、仮想デスクトップ方式は初期コストが高額ですが、メンテナンス対象はマスター OS のみであり、仮
VDI の運用ナレッジが豊富なSIer に依頼することで、作業内容の質を落とさずにコストを圧縮できる効果が期
待されます。
(出典:ネットワンシステムズ)
仮想ブラウザ方式やアプリラッピング方式、セキュアブラウザ方式は、「 Web ページが正常に表示されるかどう
か」などの動作確認を、あらかじめ実環境で実施しておく必要があります。この動作確認は、運用フェーズにおい
また、特に仮想ブラウザ方式は、「 ブラウザタブを開き過ぎるとサーバ基盤の負荷が高騰して Web ページの閲
覧速度が急激に低下する」といったサイジング関連のトラブルが発生しやすくなります。
31 →目次に戻る
(出典:ネットワンシステムズ)
マルウェア対策については、会社 PC 持ち帰り方式(VPN 方式)やリモートデスクトップ方式、仮想デスクトッ
プ方式は、EDR やアンチウイルスソフトの導入などが別途必要です。一方、仮想ブラウザ方式やアプリラッピン
グ方式、セキュアブラウザ方式は、「 利用終了後に環境ごとデータを削除する」「 exe 形式のファイルの実行を禁
重要情報の盗聴については、リモートデスクトップ方式や仮想デスクトップ方式、仮想ブラウザ方式(画面転送
型)は、画面転送型なので、暗号化通信が仮に復号されたとしても、実データが盗聴されることはないという強
みがあります。
最後に、不正アクセスについては、多要素認証システムと組み合わせるなどの対策がどの方式でも必要です。
ログインに関わる操作が増えることで利便性は低下しますが、昨今の状況を鑑みると、多要素認証の導入は必須
といえます。
おわりに
これで 3 回にわたる連載は終了です。いかがだったでしょうか。
セキュリティと利便性はトレードオフの関係にありますが、筆者は「仮想デスクトップ方式」と「仮想ブラウザ
仮想デスクトップ方式と仮想ブラウザ方式は、「 導入によってセキュリティレベルを大きく低下させることはな
い」という点が最大のポイントです。その上で、仮想デスクトップ方式には「従来のクライアント OS と同じよう
に利用できる」という汎用(はんよう)性の高さがあり、これが他の方式より優位な点となっています。一方、仮
出品時にらくらくメルカリ便・ゆうゆうメルカリ便を選択してください。
購入手続き前までにらくらくメルカリ便・ゆうゆうメルカリ便に選択されている商品に限り、匿名配送をご利用いただくことが可能です。
取引開始後も他の配送方法から、らくらくメルカリ便・ゆうゆうメルカリ便への変更はできますが、匿名配送のご利用はできません。
よくある質問
取引開始後に他の配送方法から、らくらくメルカリ便・ゆうゆうメルカリ便へ変更した場合、匿名配送は適用されません。
匿名配送を希望される場合は、購入手続き前にメルカリ便へ変更いただくよう出品者にコメントでご相談ください。
取引開始後にメルカリ便間で配送方法を変更する場合は、匿名配送が適用されます。
らくらくメルカリ便からゆうゆうメルカリ便への変更、または、ゆうゆうメルカリ便かららくらくメルカリ便への変更が対象です。
他の配送方法から、らくらくメルカリ便・ゆうゆうメルカリ便へ変更した場合、匿名配送は適用されません。
発送手続き時に印刷する送り状は、購入者のお届け先情報が暗号化されています。
※ゆうゆうメルカリ便の場合、暗号化されたお届け先情報と都道府県が記載されます
ヤマト運輸や日本郵便で商品を回収後、営業所/郵便局で購入者のお届け先情報が印字されたシールを作成し、送り状に貼り付け発送いたします。
サンワサプライは、11月30日にApple社のMFi認証を取得したiPhoneバックアップ充電器「400-ADRIP012W」を発売した。価格は9980円(税込み)。
サンワサプライ
iPhoneバックアップ充電器「400-ADRIP012W」
本製品は別売りのmicroSDを差し込んだ充電器本体に、iPhoneやiPadをLightningケーブルで接続すればバックアップが可能。15W出力でiPadも素早く充電でき、充電状況の確認とデータ管理は専用アプリ「HiCharger」で行える。
サンワサプライ
アプリではデータの暗号化も可能。ファイルを開く際にパスワートが必要となり、複数人で使用する際もプライバシーを守れる。サイズは43(幅)×28(高さ)×48.5(奥行き)mm、重量は約46g。
https://www.itmedia.co.jp/mobile/articles/2111/30/news116.html
面白いなこれ
なかなかな発想、プチイノベーションだと思う