第8回 暗号化の利用と注意点.pptVIP

第8回暗号化の利用と注意点 暗号化によって軽減することができる問題 情報の漏洩 改ざん なりすまし 確認！共有キー暗号方式と公開キー暗号方式 ハッシュを利用して改ざんされていないことをチェック デジタル署名 暗号化の弱点に対する防御 暗号化の弱点に対する防御 その1 適切なアルゴリズムを利用する 独自のアルゴリズムを利用しない 実績のあるアルゴリズムを利用する 最新のアルゴリズムを知る 例） DES Triple DES 暗号化の弱点に対する防御 その２ 適切なキー 小さなキーより大きなキー キーの安全性の確保 安全な保管 ACLを利用したキーへのアクセス制御 外部デバイスへのキーの保存 使用するキーの定期的な更新 管理の簡略化 DPAPIなどの利用 さまざまな暗号化のアルゴリズム 共有キー暗号方式 DES Triple DES AES（Rijindael） 公開キー暗号方式 RSA DSA ECC ハッシュ MD5 SHA-1 まとめ 最もセキュリティで重要なこと 暗号化をすれば安全？ 守れるもとの守れないものがある より安全な暗号化を行う 適切なアルゴリズム 適切なキーの作成 適切なキーの保管 リファレンス 開発者のためのセキュリティサイト MSDNデベロッパーセキュリティセンター /japan/msdn/security/ 開発者向け セキュリティ オンライン セミナー /japan/msdn/security/seminars/ アプリケーションセキュリティの基礎 実践! セキュアなコード記述 Part 1 実践! セキュアなコード記述 Part 2 実践! .NET Framework を利用したアプリケーション セキュリティの実装 * * NECラーニング山崎 明子 1 つのキーを使用 データの暗号化 データの復号化 高速で効率がよい 共有キー暗号方式 (対称暗号化方式) 説明 アルゴリズムの種類 数学的に関係付けられた 2 つのキーを使用 公開キーを使用したデータの暗号化 秘密キーを使用したデータの復号化 共有キー暗号方式よりも安全性が高い 共有キー暗号方式よりも処理が遅い 公開キー暗号方式 （非対称暗号化方式） Bさん Aさん データ データ ハッシュ値 ハッシュ アルゴリズム データ ハッシュ値 ハッシュ値 ハッシュ アルゴリズム ハッシュ値が一致すればデータは有効 ユーザー A がデータとハッシュ値をユーザー B に送信する ハッシュ値 Bさん Aさん データ ハッシュ値 　　ハッシュ 　　アルゴリズム Aさんの 秘密キー データ ハッシュ値 Aさんの 公開キー ハッシュ アルゴリズム ハッシュ値 ハッシュ値が一致すれば、データは秘密キーの所有者から送信された有効なデータである キー プレーンテキスト 暗号化テキスト アルゴリズム データを復号化するには、 このうちの 3 つが必要 　暗号化は非常に効果的な防御策です。しかし、暗号化技術を利用すれば安全なアプリケーションといえるのでしょうか？ 暗号化には、ある一定のセキュリティの問題に対処をすることは出来ても、すべてにおいて万能ではありません。 また、暗号化技術を利用したとしても、それが適切に利用されていない場合、問題が発生する可能性があったり、またまったく無駄であったりします。暗号化によって守れるものはなにか？またその手法や利用時に注意すべきことは何か？をご紹介します。 まとめです。 今までの回でも紹介してきましたように、セキュリティに対する対処は「これで万全」という決定的なものはないことが一般的です。ただ、それぞれの攻撃に対する効果的な防御があります。たとえば、今回の場合、情報漏洩や改ざん、なりすましに対する対処として暗号化は効果的です。 また、暗号化技術を効果的に利用するために、適切なアルゴリズム、適切なキーの作成と保管を行います。特にアルゴリズムは、対象や求められているセキュリティレベルによって適切なものが異なりますし、また、その時々に最適なアルゴリズムもことなります。 ですから、その時に求められている最適な暗号化技術を適用できる必要があります。 より具体的な暗号化の方法については、マイクロソフトのサイトやMSDNライブラリを参照してください。 その他にも、開発者のためのセキュリティサイトでは、開発者のためのオンラインセミナーが公開されています。ぜひ、こちらもご覧ください。 暗号化によって軽減することが出来るセキュリティの問題は、ここに挙げた、情報の漏洩、改ざん、なりすましなどです。 まず、暗号化をすることによって、情報がたとえ第3者に渡ったとしても、暗号化を解除できなければ、情報を見られる心配は