暗号化は善か悪か

テロリストが暗号化技術を使っていることが問題になっていることを前回述べましたが、それにより、暗号化技術自体を悪者扱いする論調がアメリカなどで活発になっています。しかし、その議論はほとんどが監視や規制を強化したい当局側の立場のもので、あまり賛同できるものではありません。

そもそも、暗号化技術はプライバシーの保護や、企業秘密の保全などに有用な技術であり、それ自体に善悪があるわけではありません。また、インターネットの商取引などではプライバシーの保護が重要であることは、いまや周知の事実であり、犯罪者から大事な情報を守るために暗号化をすることのほうが、大多数の人にとっては有益なことです。

暗号化にいくら規制をかけても、規制の抜け道はいくらでもありますし、すべてを監視するような非効率で無駄なことにコストをかけずに、テロリストを生まない社会にするための議論を活発にしていただきたいものです。

暗号化に対する規制

先週13日(日本時間では14日の朝)、フランスのパリで同時多発テロが発生し、IS(Islamic State)が犯行声明を出しました。メディアでも大きく報道されていますが、今年に入ってテロを十分に警戒していたはずのフランスで起きたことで、テロ対策の新たな影響がいろいろと懸念されています。

フランス当局はISがロシアの無料の暗号化通信サービスを利用してやりとりをしていた証拠が見つかったと発表しましたが、テロ組織や反社会的な勢力にとっては暗号化技術というのは組織の活動を秘匿するために欠かせないものとなっています。

アメリカは暗号化技術に対して輸出規制をしており、日本も基本的にそれに追随していますが、いくら輸出規制をかかけても、世界中がインターネットでつながる現状では、第三国での利用に規制をかけることは難しく、犯罪者に悪用されると捜査が困難になり、さらに問題が悪化してしまいます。

このため、暗号化技術の規制はさらに強化される可能性があります。現在はアルゴリズムが公開されていて暗号鍵長が短いものは、ある程度自由に利用できます。しかし、強度の高い暗号化方式を用いる場合に対して、公権力が新たな規制をかけるかもしれません。

私たち善良な利用者からすると、これらの規制は利用時の制約となるので、好ましいとは言えませんが、犯罪の抑止の観点からはある程度の制約は受け入れざる得ない状況になるのではないかと思います。

Linuxランサムウエア問題にみる暗号鍵の重要性

先日、Linuxのランサムウエアの暗号鍵の設計不備が話題になりました。ランサムウエアというのを聞き慣れない方もいると思いますが、ランサムウエアとはシステムを勝手に暗号化して、復号化に金銭を要求する悪質なマルウエア(ウイルス)です。

このランサムウエアは復旧に1ビットコイン(ちなみに今日の価格は約320ドル)を要求するものでした。ところが、セキュリティベンダーに、暗号鍵の生成と保存の方法が安全な方法でないと逆に分析されてしまい無料で復号化ツールを提供されてしまうというお粗末な結果に終わりました。

お気づきの方も多いと思いますが、なぜ復号化ツールを提供できたかというと、暗号化鍵が同じシステム内に存在したからです。もし、これが暗号鍵が別サーバに転送される仕組みなっていたらと思うととても恐ろしいことで、このランサムウエアの作者が安易な方法を選んだことで助かったとも言えます。

暗号化したデータを安全に保つには、暗号鍵を別サーバで管理することが重要だということは、いつも述べていますが、このような事例をみることでさらに認識を深めていただけれと思います。

データの暗号化とリカバリ

「データを暗号化したいのだけれど、元に戻らなくなったら困る」というのは誰もが思うところです。
実際、私も何度か経験があります。

ただ、その一番の原因は「暗号化したときのパスワードを忘れる」です。忘れなければいいのですけれど管理がいい加減だと手順をすべて忘れているときもあります。そこで、パスワードを再発行したいところなのですが、通常の暗号化ではパスワードの再発行はできない仕組みになっています。これは、以前にも書きましたが、それくらい暗号化は強力なのです。

そのようなとき、考えるのがバックアップからのリカバリです。バックアップさえあれば安心なのですが、その大事なバックアップが暗号化されていないことも多いです。

でもこれは、気持ちは非常に分かります。もし、バックアップも暗号化してしまって、元に戻せなければ悲惨なことになるからです。しかし、それでも、バックアップファイルの暗号化は推奨されます。というのは、バックアップはやはり盗難のリスクが高いからです。それらは通常の管理から離れることが多いので、時におおきな情報漏えいの被害をもたらすからです。

バックアップの暗号化もServer-GENERALではバックアップフォルダを指定するだけで暗号化できます。