2009年01月08日
暗号はいつまでも暗号ではない
何かしらのセキュリティ要件で、「暗号化をしているから大丈夫」という事を聞くことがあります。
セキュリティ意識の高いユーザであれば、そんなことはないことはよくよく承知の事ではありますが、
リテラシーの低い人間を相手にする場合は、これで通ってしまうケースがよくあります。
魔法の言葉「暗号化」。
これだけで安心してしまうユーザが如何に多いことでしょう。
ITにおける暗号の仕組みの多くは、「計算の複雑さ」を根拠にしています。
時が経つにつれ計算機の処理能力が上がるため、暗号の仕組みは相対的に複雑でなくなります。
また、その仕組みそのものに問題が発見される事もあります。
セキュリティ界隈ではMD5アルゴリズムはもはや信用ならない物として知られていましたが、
今回、MD5を利用している証明書(SSL)を偽造することが現実的な時間内で可能であること
の実証デモが行われました。
また、Netcraftによると、14%のWebサイトがMD5を利用した証明書を使用しているとか。
http://news.netcraft.com/archives/2009/01/01/14_of_ssl_certificates_signed_using_vulnerable_md5_algorithm.html
「暗号化」=「安心」ではないという意識が必要で、
これらの啓蒙を行うことは、我々エンジニアの仕事の一つなのかもしれません。
トラックバック
このエントリーのトラックバック:
http://news.brain-gate.net/mt-tb.cgi/613
