6.6   暗号化

  6.6.1暗号の有効性
図:6.6.1暗号の有効性
  外部のネットワークと通信が行われる際に、そのデータが途中で捕獲され読まれてしまう危険性があります。特に機密情報を転送する場合には大きな問題となります。また、保管されているデータも不正にアクセスされたり、盗まれたりなど、さまざまな危険性をもっています。
  「暗号化」された情報やデータは、目的としている受取り手以外にはまったく無意味なゴミに見えるように変換されています。暗号化された情報を表示して読めるようにするには、それを「復号」する必要があります。つまり、メッセージを元の形式に戻すということです。そして、それは意図した受取り手にしかできません。


  6.6.2アルゴリズムと鍵
図:6.6.2アルゴリズムと鍵

  暗号化にはアルゴリズムに加えて秘密の値を必要とします。この秘密の値は「鍵」と呼ばれます。「良い」暗号システムであれば、アルゴリズムを人に知られたとしても鍵の値を秘密にしておけば、その暗号を解読することができません。この鍵の概念は、組み合わせ鍵におけるダイアルの組み合わせに類似しています。組み合わせ鍵の概念(正しい順序で秘密の数にダイアルを合わせれば鍵が開く)は良く知られていますが、正しいダイアルの組み合わせを知らなければ開くことはできません。

鍵の長さ
  暗号アルゴリズムは、鍵がなければ破れないわけではありません。暗号解読者は、正しく復号できるまで、考えられる全ての鍵を順に試していくことも可能です。暗号のセキュリティは、解読者がそれを破るのにかかる仕事の量によって決定されます。もしもその暗号を破るのに100年かかるとしたら、それはおおよそ安全であるといえるでしょう。
  一般的には、鍵の長さをより長くすることで、暗号強度を高めることができます。鍵の長さとは、鍵の数を示します。
  例えば8ビット(256通り)の鍵を1ビット長くするだけで、解読者の仕事は2倍になります。 (考えられる鍵の数が2倍になる)


  6.6.3共通鍵暗号方式
図:6.6.3共通鍵暗号方式
  コンピュータ上の通信で利用される暗号化の仕組みには、共通鍵暗号化方式と、公開鍵暗号化方式があります。
  共通鍵暗号化方式は、暗号化と複合に同じ鍵を利用するもので、鍵の生成には主に下記の2つの方式が使われます。
ストリーム型
書かれた平文ビット単位の状態で排他的論理和をとり平文がそのまま1ビットごとに暗号化されていく方式です。復号では暗号文と鍵のビットごとの排他的理論和をとったものが平文となります。
この方式はPPTP(Point to Point Tunneling Protocol)などの暗号化処理に使われているRC4(Rは発明者のRivest、CはCipherの略と言われている)で使用されています。
ブロック型暗号
平文をビット単位で1ブロックの集まりごとに区切り、鍵という数値をパラメーターとし置換・転置などの暗号化を行う方式です。鍵を複数に増やし複数回暗号化することによって撹乱が進み安全性が向上します。現在、DES(Data Encryption Standard)をはじめとする多くの秘密鍵暗号が、この方式を採用しています。


共通鍵暗号の問題点
共有鍵暗号には主に二つの問題があります。
  1. 鍵の受け渡し
    第三者にわかってはいけない鍵をどのようにして通信相手に渡すかが問題になります。近距離であれば、物理的なメディアを利用して手渡すことも可能ですが、遠距離の場合は、渡すまでの過程で第三者に知られてしまう可能性があります。
  2. 鍵の管理
    すべての人と完全に安全な通信を行おうとした場合、通信相手の数だけ鍵が必要になります。100人と通信する場合には100個の鍵が必要となります。


  6.6.4公開鍵暗号方式
図:6.6.4公開鍵暗号方式

  共通鍵暗号方式は動作速度も速く、より強固な暗号化の行えるのですが、送信する相手1人に対して1つの鍵が必要になるため、電子メールのように複数の相手と通信する場合、鍵の管理が非常に複雑になってしまいます。
  この問題を解決するために生まれた暗号化方式が、公開鍵暗号方式です。
  公開鍵暗号方式(RFC2437)は、暗号化と復号に使う鍵を別々に作成し、暗号化の鍵を文字通り公開しておきます。送信側は、公開されている暗号鍵を利用してメッセージを暗号化して送ります。受信側では、秘守している復号鍵を用いて原文に戻します。
  これは、例え公開されている暗号鍵を手に入れても、そこから復号鍵を作成するのが困難であるという数学的な理論にもとづいて鍵の生成が行われるためです。


  6.6.5電子メールにおける暗号化

    6.6.5.1 S/MIME
図:6.6.5.1 SMIME

  S/MIME(RFC2683) は前述したMIME(Multipurpose Internet Mail Extension)というTCP/IPネットワーク上でやりとりされる電子メール用の規格にセキュリティ機能を強化したものです。
提供されるセキュリティ機能はPGP(Pretty Good Privacy)とほぼ同じですが、鍵の公開に認証局(CA(Certification Authority))を用いるため鍵の正当性が保証されます。


    6.6.5.2 PGP(Pretty Good Privacy)
図:6.6.5.2 PGP

  PGP(RFC2726)はPretty Good Privacyの略で、暗号化機能を持つソフトウェアとして、インターネット上でプログラムとして公開されていいます。PGPは一部のメール・クライアントに組み込んで電子メールの暗号化に利用することも可能です。
  提供されるセキュリティ機能は
  1. メッセージの暗号化
  2. メッセージ送信者の認証
  3. メッセージ改ざんの確認
  4. メッセージ送信者の身元の明示
の4つになります。


  6.6.6暗号化製品選択のポイント
  暗号化製品の選択ポイントは、以下の4つになります。
  • 通信形態
    リモートアクセスで利用するか、内部ネットワークで利用するかによって必要とするセキュリティの強度が変わってきます。
  • 利用サービス
    電子メール、EDI(Electronic Data Interchange)やEC(Electronic Commerce)等利用するサービスによってもその形態が変わってきます。
  • 付加機能の有無
    最近の暗号化製品は単に暗号化機能を提供するだけでなく、認証機能や改ざん成りすまし防止の機能を有したものも存在します。

最初へ

Copyright ©  2002 Information-technology Promotion Agency, Japan. All rights reserved.