人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

ファイルの暗号化の安全性について。

検索してみると、zipパスワードはあまり意味がない(たしかに調べると解析ツールがたくさん出てきます)、と、解説されているところを見かけるのですが、例えば、以下のようなソフトを使うとzipパスワードと何が違って安全性が増すのでしょうか?(あるいは、変わらないのでしょうか?そもそもファイルのパスワードだと、総当りでいずれは復号化されてしまうように思うのですが(Webシステムなら、何回失敗したら?、とかあるように思いますが))

『アタッシェケース』
http://www.forest.impress.co.jp/lib/sys/file/fileuty/atasshecase.html

●質問者: koime_ryokutya
●カテゴリ:コンピュータ インターネット
✍キーワード:Web zip アタッシェケース システム ソフト
○ 状態 :終了
└ 回答数 : 8/8件

▽最新の回答へ

1 ● SweetSmile1978
●16ポイント

作者ではないので個人的な推測です。

一般的なパスワードでは、英数字62文字+いくつかの記号で、

パスワードとしては記憶の問題もあるのであまり長くはできませんね。

なのでCPUパワーさえあれば総当たりで

そのうちパスワードが見つかってしまう可能性はあります。

パスワード管理ソフトなんてのがあるので、

とんでもなく長いパスワードを使って

そういうものに登録するということもできますが、

そういうのに登録すること自体リスクです。

ファイルならそのサイズがどれだけ大きくても

どのファイルが暗号化復号化のキーファイルなのかを

覚えるだけですむので、普通にパスワードと覚える感覚で

覚えておけばいい、

つまり総当たりもされにくくなるし、扱いやすい

ということなのかな、という感じです。

結局総当たりで解かれる可能性はあります。

いかにその可能性を減らすかってところですね。


2 ● code_tk
●12ポイント

どんなソフトを使用して暗号化しても総当りをされたらいつかは複合化されます

ただし複合化のキーをどうにかして伸ばしたりして見つかりにくくしています

なので[アタッシュケース]を利用すると普通のzipの暗号化よりは強固になるけどAESに対応したwinzipなどを使用すれば大体一緒という認識でいいかと

実際zipであってもパスワードを20桁の記号込みでのランダムにすれば解凍はほぼ不可能だと思いますが

http://kchon.blog111.fc2.com/blog-entry-160.html


3 ● gday
●12ポイント

ZIPに使用されている暗号化方式(PKWARE Encryption)は今ではそんなに強力なものではありません。

またファイルにパスワードをかける方式なのでパスワードを総当りして解読するという方法を高速で行えるので解読されやすいです。実際に出回っているツールはこの方法を使っています。

こちらが参考になると思います。

http://d.hatena.ne.jp/retsu0708/20080120/1200783897


一方アタッシュケースの場合はAESを使っていますのでパスワードから生成される鍵が256ビットと長いのでより解読されにくい方式になります。


アタッシェケース

http://homepage2.nifty.com/hibara/software/atcs.htm

暗号化アルゴリズムには、2000年10月にアメリカ政府標準技術局(NIST)によって、次世代暗号化標準 AES(Advanced Encryption Standard)として選定された“Rijndael(ラインダール)”を採用し組み込んでいます。 AESではブロック長が128ビット固定となっていますが、アタッシェケースではRijndaelの仕様を採用し、鍵、ブロック長ともに256ビットになっています。

なお、乱数による初期化ベクトル(IV)を生成してからCBCモードで暗号化し、第三者による解析も防ぐよう工夫されています。

http://homepage2.nifty.com/hibara/software/atchelp/techinfo/02.jpg


4 ● mdfmk
●12ポイント

http://lastbit.com/password-recovery-methods.asp#Brute%20Force%20Attack

ZIPでも10桁で大文字小文字+数字交じりのパスワードだったらほぼ解除されないのでは。


5 ● isogava
●12ポイント

総当たり攻撃に対しては暗号方式よりもパスワードの桁数に応じて復号化されやすさが決まりますから、ZIPもアタッシュケースもあまり変わらないと思います。

ただし、ZIPの場合は復号ツールが容易に入手できるのに対して、マイナーな暗号方式では復号ツールを自作する必要がありますから、素人・一般ユーザが総当りで複合できるというリスクは考慮しなくて済むという利点があります。

そのため、リスクを低減させる意味でマイナーな圧縮ソフトを使っているケースはよく見かけます。

ただし、20桁以上であればZIPでも心配ないと思いますが。

最重要データであれば、一度パスワード圧縮したものを再度別のランダムなパスワードで圧縮すれば、現実的には復号は不可能と考えてよいでしょう。

余談ですが、パスワード付きの圧縮ファイルをメールが届き、その直後にパスワードを知らせるメールが届くことがありますが、笑ってしまいますよね。

そちらの心配をする方がはるかに現実的だと思います。

(せめてランダムな文字列を送って、その何行目から何文字とかにしてほしい。)


1-5件表示/8件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ