HOME
暗号利用を補完するためのセキュリティ対策 超基本編
2003/6/13
2004/5/13 リムーバブルメディアについてのポイントを追加。
「暗号利用を補完する」ことに目的を絞ると、ポイントは以下の4つだ。
POINT1 盗まれる可能性がある場所に平文ファイルを置かない
暗号化前/復号後のファイルが、攻撃者がアクセス可能な場所に置いてあるのでは、暗号を利用する意味がなくなってしまう。
安全性を最高にするには、ネットワークに接続しないPCで暗号化と復号を行うようにする。そのPCとネットワークに接続するPCとの間では、リムーバブルメディアやUSB接続のハードディスクなどで、暗号化ファイルを移動する。
POINT2 ウイルス対策ソフトでトロイの木馬をチェックする
トロイの木馬には、キー入力を記録するものがある(キーロガー)。暗号化時/復号時に入力したパスワードを記録された場合、暗号化ファイルを盗まれると、攻撃者に復号されてしまう。
これは、EDやCodyのような「対称鍵暗号ソフト」の場合にあてはまる。対称鍵暗号では、暗号化鍵と復号鍵が同じなので、鍵を知られたら暗号化ファイルは復号されてしまう。
PGPやGnuPGのような「公開鍵暗号ソフト」の場合、暗号化時にパスワードを入力することはない(相手の公開鍵を使って暗号化する)。公開鍵暗号のユーザーから盗んだ暗号化ファイルを復号するには、「あなたの秘密鍵」(鍵束ファイルの中に、パスフレーズで暗号化されて存在する)を盗み、かつ、パスフレーズ(秘密鍵を暗号化しているもの)を、入手する必要がある。
POINT3 パーソナルファイアウォールでデータの流出を防ぐ
以下の行為を実行できないようにする。
- 外部からトロイの木馬へのアクセス
- トロイの木馬による、データの外部への自動送信
ルーターのファイアウォール機能を使ってもよいが、パーソナルファイアウォールはPC上で実行されるため、インターネットの接続を試みるプログラム名を識別して、普通のブラウザやメーラだけに、HTTPの接続やメールの送信を許可できる。そのため、トロイの木馬がHTTPやメールを使う場合にブロックできる。
POINT4 他人に渡すリムーバブルメディアの上で、ファイルを暗号化しない
暗号ソフトの中には、暗号化後に、暗号化前のファイルを抹消する機能を持つものもあるし、持たないものもある。抹消機能がない暗号ソフトを使えば、暗号化前のデータがメディアに残る。抹消機能がある暗号ソフトであっても、抹消が不十分である可能性がある。
別の相手とデータをやりとりするとき、抹消処理が不完全なメディアを使い回すと、本来意図しなかった相手に、暗号化前のデータを復元される危険性がある。
暗号化前のデータがメディアに残るリスクをなくすには、必ず、メディア以外の場所で暗号化し、暗号化したファイルだけを、メディアに保存すること。
復号のときも同様で、他人に渡す可能性があるメディア上で復号してはいけない。メディア以外の場所で復号すること。
さらに、いったんデータの受け渡しを終えたMOなどは、フォーマットしたのち「復元」の「完全削除」機能などを使い、データを抹消する。ただしcipher.exeを使うのは勧めない。抹消処理にかかる時間が非常に長い。
これらの抹消ツールについては「フリーのデータ抹消ツール」を参照。
UNIX系OSも使っているなら、ddコマンドで抹消する方法が高速だ。
HOME
Copyright (C) Cybernetic Survival Network. All Rights Reserved.