Reading Everyday Cryptography 01
2014-10-14 /
1.1.2
電子通信がなかった時代と、ある時代での情報セキュリティへのアプローチの違いを語る。
Old Office
認証は対面または「スタッフがその人を知っている」という事実に基づく。 あるいは誰かの紹介状などをもってその人が同定される。
→ 変装を見破れるだろうか?(なりすまし)
機密を守るためには部屋の隅に小さな談話室が必要。
→ 壁に小さな穴が開いていたとしたら?
手紙は封緘して改竄を避ける。
→ 蒸気をつかって封緘ははがせてしまう。
自筆署名をもって「その人が書いたもの」と認められる。
→ 筆跡を複写することは可能。
Modern Office に出てきた問題
そのメールは本当に顧客からのものだろうか?
そのファイル、中身をすり替えられてはいないだろうか?
同僚だけに送ったはずのメールが実は誰かに見られてはいないだろうか?
メールで送られた契約書を間違いなく承認するにはどうしたらいいのだろう?
現代のオフィスではこういったことに対応する技術がある。
それが、多くの人が普段気付かない間に利用されている暗号化技術なのである。
Government Perspective
強固なセキュリティとは。
個人の機密を守るということは、政府の情報公開に応じることも拒否できるということ。
これは二重のスタンダードを生むことでもある。
本書を通じて重要なこと
暗号化のメカニズムが何より重要です。
ほんとかね?
ノー。
暗号化技術の意義はそのメカニズムではなく、それを活かすインフラにある。
インフラとは、手順、計画、方針、管理などの様々な手法と観点を意味する。
暗号化のアルゴリズムはそれが活きるための基盤を必要としている。それだけでは信頼のおけるセキュリティを実現することはできないからだ。
問題は暗号化技術を「どう適用するか」にある。
攻撃について
受動的攻撃
データの操作を含む攻撃。 電子データを受信した人間にこの攻撃は検知できない。
能動的攻撃
データの改竄や破壊を含む。 DoS攻撃はデータというよりサービスの破壊であるためこれに含まれる。