人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

暗号化、情報セキュリティ技術についての質問です。

某会社の某サービスで、次のようなフレーズが書いてありました。

「データはしっかり暗号化しておりますので、偽造や改ざん、なりすましという不正を防ぐことができます」

暗号化をすれば、偽造や改ざん、なりすましを防げるって言うのは、一般的に正しい理論でしょうか?
今私も調べているところなのですが(頭の整理も兼ねてます・笑)、暗号化って技術的には盗聴と改ざんを防ぐためのものであって、偽造やなりすましには対応できないものですよね?

これに関して詳しい方のご意見、またはこれに関する記述があるサイトの情報を求めています。
よろしくお願いいたします。

●質問者: xml-document1
●カテゴリ:コンピュータ
✍キーワード:いもの なりすまし サイト サービス セキュリティ
○ 状態 :終了
└ 回答数 : 8/8件

▽最新の回答へ

1 ● masahikokimoto
●41ポイント

http://www.jipdec.jp/esac/shikumi.htm

なりすましを防ぐには、電子署名を使います。

電子メールなどでは、暗号化と電子署名を同時に使うことも多いので、両者を混ぜて暗号化と言ってしまうことも多いようですが、おっしゃるように間違いですね。

http://www.vicus-oryzae.com/gorua/sign.html

Signature and Encryption

間違いに怒っている人もいます。

◎質問者からの返答

回答ありがとうございます!

そう、なりすまし対策に使われるのが電子証明でしたよね。すっきりしました。

でも新たな疑問が出てきました。

追加質問1.偽造を防ぐための技術って何?

追加質問2.電子署名って、それ単体ではなりすまし対策には使えないため、必ず暗号化とともに使われる

こちらの追加質問に対するお答えも、お待ちしています。


2 ● sight
●0ポイント

http://yougo.ascii24.com/gh/76/007670.html

ASCII24 - アスキー デジタル用語辞典 - PKI

極めて大雑把に言えば、間違ってはいないと思います。


偽造や改ざん→データが原本と同じものか?

なりすまし→データの発信者は本人か?


というところがポイントになってくるかと思いますが、このへんは電子署名などとデータ本体の暗号化の組み合わせで守っていくのが一般的じゃないでしょうか。

ただ、ちょっと舌足らずで誤解を招きかねない気もしますね。


単に「暗号化」してあればいいわけではなく、暗号化した主体が本来の作成者であることが保証されて始めて意味があります。

誰にでも同じように暗号化できてしまう場合は、偽造やなりすましの対策にはなりません。

逆にいうと、暗号化の方法が本来の作成者しか知らないものならば、偽造、改ざん、なりすましされていないことになります。

◎質問者からの返答

回答ありがとうございます。

>逆にいうと、暗号化の方法が本来の作成者しか知らないものならば、偽造、改ざん、なりすましされていないことになります。

確かに、妥当な理論だと思います。

しかし、SSL技術などの技術は、きちんとその原理や理論が公開された上で、その道の研究者も「安全性が高い、情報保護の効果が高い」と納得できるものです。

暗号化の方法が公開されてなければ、そもそも本当に偽造や改ざん、なりすましされないものなのかどうか、疑われても仕方がないところではあります。

本質門では、暗号化・情報セキュリティ技術関連商品の担当者に説明しても納得できる回答を得ることを目的にしています。

ちょっと難しいやりとりになるかもしれませんが、このあたりのことにお詳しい方、お付き合い願います。


3 ● papaw
●0ポイント

http://www.jcci.or.jp/it/colum/colum2.htm

電子認証と電子署名のはなし

改ざんに関しては電子署名を付加することで改ざんされていないことを証明できます。この電子署名は公開鍵暗号方式を使って実装することが一般的で、ちゃんとした電子署名ならば法律で印鑑と同等の扱いを受けることが出来ます。


4 ● sight
●0ポイント

http://www.hatena.ne.jp/1133766351#

人力検索はてな - 暗号化、情報セキュリティ技術についての質問です。 某会社の某サービスで、次のようなフレーズが書いてありました。 「データはしっかり暗号化しておりますので、偽造や改..

・暗号化がなりすまし等を防ぐという記述が間違いか?

技術屋とか、セキュリティ関係の文書で用いると間違いとして指摘したいですね。

ただ、一般のユーザ向けには「なんとなくわかりやすい」で暗号化という言葉を使い

たくなるのもわかります。難しいところですね。

#そのような使い方が誤解を広める・・・とも言いますが。


・暗号化の方法が本来の作成者しか知らないものならば・・・・

「書き方が悪いなぁ」と書きながら思っていましたが、やはり誤解を招いてしまった

ようで申し訳ありません。


暗号化の原理や理論そのものが非公開なわけではなく、は周知のものを用います。

たしかに、そうでないと有効性が疑われます。(し、復号できない・・・)

「本来の作成者本人しか作ることが出来ない暗号を作る」という意味でご理解ください。


大雑把な流れ的には、

電子署名は、暗号化を秘密鍵(暗号化する人本人しか持っていない)で暗号化し、

公開鍵で復号化することで作成者を確認します。

ロジック的に、公開鍵で復号化できる暗号は本人の秘密鍵でしか作れません。


・データの作成者の秘密鍵で暗号化した署名

・データを共通鍵で暗号化したもの

・データの利用者の公開鍵で暗号化した共通鍵


これらがデータ作成者からデータ利用者に渡されるとして、データ利用者はデータ

利用者の秘密鍵で共通鍵を取り出し(この人しかできない)、その共通鍵でデータ

を復号する。

あと、データの作成者の公開鍵で署名を復号化して作成者を確認する、と。


こんなところでしょうか?


#間違っていたらスミマセヌ

◎質問者からの返答

だんだん求めている論点とずれてきているので、まとめなおします。

質問の原点は、用語の使い方です。

「データはしっかり暗号化しておりますので、偽造や改ざん、なりすましという不正を防ぐことができます」

この言い回しが専門的に見ておかしいので、正しい言葉の言い回しが知りたいのです。

イメージとしては、情報セキュリティの専門家と、正しい言葉のやり取りをする場面を想定してください。

一般の人(悪い言い方をすれば「暗号化」と聞くだけで安心してしまう一般人)に対して説明したいわけではありません。

一通り回答を開いてみて、希望の回答がなければ、改めて質問しなおします。


5 ● Baku7770
●41ポイント

http://www.keieiken.co.jp/articles/pdf/a13.pdf

>追加質問1.偽造を防ぐための技術って何?


一般的には原本性確保(技術)と呼ばれます。


多いのはタイムスタンプとHUSH関数の組合せで、改ざんが行われているかHUSH値を比較して確認するものです。

http://www.verisign.co.jp/class1/services.html

>電子署名って、それ単体ではなりすまし対策には使えないため、必ず暗号化とともに使われる


言い切れないですね。電子署名そのものをキーに暗号化することはありますが、もう一つ見読性の問題がありますので。


あくまでも電子署名は作成者・更新者が誰かを判定するためのツールとお考え下さい。


元の質問という意味では、「データはしっかり暗号化しておりますので、偽造や改ざん、なりすましという不正を防ぐことができます」これは「外部による」という一言を入れれば正しいと言えますが、「内部による」「内部の組織的な」という点で完全に誤りとなります。

◎質問者からの返答

こういう回答、待ってました!!

>原本性確保(技術)

この単語、初めて聞きました。

要するに、ダウンロードデータに添えてMD5ハッシュ値(?)が書かれている場合がありますが、それに該当するものという認識でいいでしょうか?

>「外部による」という一言を入れれば正しい

どこに入れればよいのでしょう?

「データはしっかり外部の組織によって暗号化しておりますので、偽造や改ざん、なりすましという不正を防ぐことができます」

でしょうか?

これだと、ちょっと意味が通らないかなぁと言う印象です。。。


1-5件表示/8件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ