一般的なセキュリティ（暗号化）

こんにちは、Perlを始めて２週間の者です。

只今、認証ページを勉強＆作成中です。
IDとPASSに関しては暗号化して認証することを考えていますが、

crypt関数で暗号化すると、８文字以降は切り捨てられるとのことなので、
入力文字列を８文字で区切り、それぞれを暗号化した後に結合して
１つの暗号化された文字列を生成しました。
８文字以上の（文字数が多い）方が安全性が増すという意味合いからです。
また、入力値を暗号化する前に、reverseで逆順にしたりしましたが、
こういった処理には（文字数を増やしたり、逆順にする）意味がありますか？
（さほど、セキュリティ強度は変わらないのでしょうか？）

また、完全な暗号化は存在しないと承知の上ですが、MD5等も
強度が低いと聞きました。
通常、認証時のデータはどのようなセキュリティを施すべきですか？
（○○○をすれば十分というものは？）

No.1 ベストアンサー 回答者： perlerz10 回答日時： 2007/04/19 16:21

パスワードの文字数を多くした方が安全性が増すというのは単に「数打ちゃ当たる的」認証突破を考えた場合に少々有効なだけです。

また、いくら複雑に暗号化しようとも、メンバー認証時には再度入力されたパスワードを登録時と同じように暗号化処理して、すでにあるメンバーデータのパスワードと照合するわけですから、いってみれば「ごくろうさん」的なことでしかないかもしれません。
むしろ、照合処理を隠すための方法を考えた方が良いと思います。

この回答へのお礼

アドバイスありがとうございます。
やはり、効果の見込めない処理でしたか…。

>>照合処理を隠すための方法を考えた方が良いと思います。
とは具体的にはどういったものですか？
保存用ファイルの拡張子をcgiにするなどのことでしょうか？
他に何かあれば、教えてください。

お礼日時：2007/04/19 17:27

No.3 回答者： perlerz10 回答日時： 2007/04/19 18:37

つまるところいくら対策を施しても、そのターゲットになってしまえばやられてしまうわけで、また何より怖いのは身内からの漏洩というのもあります。

結局のところ、どのようなスタンスの元で対策を行うか、また対象とする外敵は何を想定するかということでとるべき手法が変わってくると思います。
perlを始めて２週間ということでしたので、雰囲気的にはこんな感じですよというお話になってしまいました。あまり参考になる話が出来ずに申し訳ないです。とりあえずは大事なファイルは上位のディレクトリに置いておきましょう。名称をcgiにしておけば見られないというのも、サーバの設定しだいでは普通にブラウザで見えちゃったりしますし、そういったサイトも多いです。

この回答への補足

SHAモジュールを使うことにしました。
ありがとうございました。

補足日時：2007/04/20 14:56

この回答へのお礼

アドバイスありがとうございます。
今は、認証式の掲示板を作成しようとしているのですが、
モジュールを使うには勉強が必要なので、とりあえず、
DESかMD5で暗号化しておくくらいで良いんでしょうか？

お礼日時：2007/04/20 10:03

No.2 回答者： sakusaker7 回答日時： 2007/04/19 16:37

とりあえずMD5は暗号化そのものとは関係ありません。

#MD5で暗号化する。ということなどないというほどの意味です。

ppm> search crypt
Downloading tcool packlist...not modified
Downloading The University of Winnipeg's 5.8 PPM repository packlist...done
Updating The University of Winnipeg's 5.8 PPM repository database...done
Downloading th packlist...done
Updating th database...done
1: Crypt-Blowfish v2.10
2: Crypt-Blowfish v2.10
3: Crypt-Blowfish v2.10
4: Crypt-CAST5_PP v1.04
5: Crypt-CAST5_PP v1.03
6: Crypt-CAST5_PP v1.03
7: Crypt-CBC v2.22
8: Crypt-C_LockTite v1.00
9: Crypt-C_LockTite v1.00
10: Crypt-CapnMidNite v1.00
11: Crypt-CapnMidNite v1.00
12: Crypt-DES v2.05
13: Crypt-DES v2.05
14: Crypt-DES v2.05
15: Crypt-DES_EDE3 v0.01
16: Crypt-DES_EDE3 v0.01
17: Crypt-DES_EDE3 v0.01
18: Crypt-DES_EEE3 v0.01
19: Crypt-DES_EEE3 v0.01
20: Crypt-DES_PP v1.00
21: Crypt-DES_PP v1.00
22: Crypt-DH v0.06
23: Crypt-DH v0.06
24: Crypt-DH v0.06
25: Crypt-DSA v0.14
26: Crypt-DSA v0.14
27: Crypt-DSA v0.14
28: Crypt-GOST v1.00
29: Crypt-GOST v1.00
30: Crypt-IDEA v1.08
31: Crypt-IDEA v1.08
32: Crypt-IDEA v1.08
33: Crypt-License v2.02
34: Crypt-License v2.02
35: Crypt-Lite v0.82.06
36: Crypt-Lite v0.82.06
37: Crypt-OICQ v0.0
38: Crypt-OICQ v0
39: Crypt-OpenPGP v1.03
40: Crypt-OpenPGP v1.03
41: Crypt-OpenSSL-RSA v0.22
42: Crypt-OpenSSL-RSA v0.22
43: Crypt-OpenSSL-Random v0.03
44: Crypt-OpenSSL-Random v0.03
45: Crypt-PasswdMD5 v1.3
46: Crypt-Primes v0.50
47: Crypt-Primes v0.50
48: Crypt-RC4 v2.02
49: Crypt-RC4 v2.02
50: Crypt-RC5 v2.00
51: Crypt-RC5 v2.00
52: Crypt-RC6 v1.0
53: Crypt-RC6 v1
54: Crypt-RIPEMD160 v0.04
55: Crypt-RSA v1.57
56: Crypt-RSA v1.57
57: Crypt-Random v1.25
58: Crypt-Random v1.25
59: Crypt-Random v1.25
60: Crypt-Rijndael v1.04
61: Crypt-Rijndael v1.02
62: Crypt-Rijndael v1.02
63: Crypt-SSLeay v0.53
64: Crypt-SSLeay v0.53
65: Crypt-SSLeay v0.53
66: Crypt-Shark v1.0.1
67: Crypt-Shark v1.0.1
68: Crypt-Simple v0.06
69: Crypt-Simple v0.06
70: Crypt-Tea v2.12
71: Crypt-Tea v2.12
72: Crypt-Tea_JS v2.15
73: Crypt-Tea_JS v2.15
74: Crypt-TripleDES v0.24
75: Crypt-TripleDES v0.24
76: Crypt-Twofish v2.12
77: Crypt-Twofish v2.12
78: Crypt-Twofish v2.12
79: Crypt-Twofish_PP v0.17
80: Crypt-Twofish_PP v0.17
81: Filter-Crypto v1.17
82: Filter-Crypto v1.17

この辺から適当なモジュールを見繕って使ってみるのが
よいのではないでしょうか。

Amazon.co.jp： 暗号技術入門-秘密の国のアリス: 本: 結城 浩
http://www.amazon.co.jp/gp/product/4797322977

とりあえずこの本ででも暗号のお勉強をしておいた方が
大怪我しないですむと思います。

この回答へのお礼

アドバイスありがとうございます。
すみません、モジュールというものが良くわからないので、
勉強しないといけませんね。

お礼日時：2007/04/19 17:32