いつかは君も花粉症になるよと言われ、毎日ビクビクしている鷲尾です。
先月2月17日に、IPA(情報処理推進機構)から「情報セキュリティの脅威に対する意識調査」と「情報セキュリティの倫理に対する意識調査」の最新結果が発表されました。
パスワードには、「誕生日など推測されやすいものは避けている」、「わかりにくい文字列を設定している」という割合は半数を超えているものの、サービス毎にパスワードを変えているという割合は低く、特に10代では約16%に留まっています。
幼いころからスマートフォンなどを通じてインターネットに慣れているせいか、若い世代ではセキュリティに対する意識やモラルが低下しているように見えます。今はそういう時代なので仕方がない部分もあるかもしれませんが、画面の向こうには無数のサイバー犯罪者が潜んでいます。
「簡単なパスワードを設定していると、いつ悪用されるかわからない」ということを、若い世代の方たちにもきちっと知っておいていただきたいですね。
そこで今回は、数あるセキュリティ技術の中からWebサービスで使用される「https」を例に"ハイブリッド暗号方式"について書きたいと思います。
1.ハイブリッド暗号方式の利用場面
みなさんも普段ブラウザで検索をした時にアドレスのはじめの「http」が、「https」になっていることがあると思います。これは、「HTTP over SSL/TLS」という技術で、「このHTTP通信は暗号化されてますよ」というものです。SSLは「Secure Sockets Layer」、TLSは「Transport Layer Security」の略で、どちらもデータを暗号化して送受信する技術のことです。
このSSL/TLSで使用される暗号化方式がハイブリッド暗号方式で、主に重要なデータを入力する入力フォームやログインページで利用されています。
2.ハイブリッド暗号方式とは
ハイブリッド暗号方式は、2つの暗号化方式のいいとこどりをした暗号化方式です。
「共通鍵暗号方式」と「公開鍵暗号方式」を組み回せて実現します。
■共通鍵暗号方式
暗号化と復号に同じ鍵を用いる暗号方式です。処理速度は早いですが、外部に漏れてしまうと第三者でも簡単に復号できてしまいます。したがって、事前に送信者受信者間で安全な方法で鍵を共有しておく必要があります。
■公開鍵暗号方式
暗号化に使う鍵と復号に使う鍵が分離されている方式です。公開鍵暗号方式では、対になった「秘密鍵・公開鍵」を使用します。鍵の持ち主は復号に使う鍵(秘密鍵)のみを他人に知られないように管理し、暗号化に使う鍵(公開鍵)は公開します。公開鍵は公開されているので、だれでも使用することができますが、その公開鍵で暗号化されたデータは、対になる秘密鍵でしか復号できません。したがって、安全な方法で鍵を共有する必要もなく、また第三者に傍受されても復号されることはありません。
その代わり、暗号化及び復号処理が複雑であるために、共通鍵暗号方式に比べ処理時間がかかってしまいます。
そこで、共通鍵暗号方式の処理速度と、公開鍵暗号方式の鍵の管理における利点を組み合わせたものがハイブリッド暗号方式として、先述のSSL通信などで利用されています。
3.ハイブリッド暗号方式の仕組み
ハイブリッド暗号方式では、以下の流れで通信を行います。
・送信者
①送信したいデータ(例:売上データ)を作成します。
②売上データを暗号化するために送信者が共通鍵を作成し、共通鍵で暗号化します。
③送信したい相手(受信者)が公開している公開鍵で、「共通鍵」を暗号化します。
④「共通鍵で暗号化された売上げデータ」と、「公開鍵で暗号化された共通鍵」を、受信者に送信します。
・受信者
⑤公開している公開鍵と対になっている秘密鍵で共通鍵を「復号」し、共通鍵を取り出します。
⑥共通鍵を使って売上げデータを復号します。
このように、ハイブリッド暗号方式は共通鍵暗号方式の「処理が高速」という長所と、公開鍵暗号方式の「鍵の管理が楽」という長所が使えるようになっています。
それによって、安全に、なおかつ高速にインターネットが出来ているわけですね。
・ハイブリッド暗号方式について思うこと
様々なセキュリティ技術の組み合わせによって実現されている現代のWebサービスですが、どういった技術で実現されているのかというのはブラックボックスで、あまり知られることはありません。ましてや、光を浴びるような派手な技術ではなく、認証方法や暗号化・復号なんて領域はなおさらです。
デジタルネイティブという言葉もあるように、小さいころからネット世界に慣れ親しんでいる世代は、ネットやWebサービスを利用するのは当たり前で、特に深く注意して利用するという人は少ないと思います。ログインID、パスワードは同じようなものを使いまわしているという人も見かけます。
ひとりひとりがネット社会の一員であることを自覚して、情報セキュリティについて理解を深めていくことで、社会全体のセキュリティに対する意識やモラルの低下を防ぐことができるのではないかと思います。
0 件のコメント:
コメントを投稿