PCのセキュリティで使われている暗号に - ネットワークセキュリティ - 教えて！goo

まず最初の質問ですが、ウェブページの暗号は標準化されています。
中国などは国家が検閲する都合があるため独自の暗号方式や弱い暗号方式を強要されますが、日本やアメリカなどでは同じ方式です。
一般的に名前が知られている業者であれば、きちんと対応していると思って大丈夫です。

次の質問ですが、Noton360にはウェブページを暗号化する機能はありません。
ネットショッピングなどを安全に行うには、インターネットを経由した通信を暗号化する必要があります。これには、サーバ（業者側）とクライアント（購入者）の両方のコンピュータが暗号化に対応しなければなりません。
現在、市販されているパソコンはすべて暗号化に対応していますので、業者側がきちんと暗号化の設定を行っていれば、特にソフトウェアをインストールしなくても暗号化は問題ありません。

三番目の質問ですが、むしろNoton360はトロイの木馬を防ぐためのソフトウェアです。
（もちろんその他にも機能はありますが）
Noton360をキチンと更新していれば、IDやパスワードを盗まれることはありません。

暗号化の方式については、確かに新しい方式の開発が進められていますが、現状の方式もスーパーコンピュータの進歩を考慮した上で決められています。
「暗号化の2010年問題」も「京」を1年間貸し切りで計算させると解読が可能というレベルです。正直言って、国家が犯罪に加担しない限り解読は不可能です。

実際問題として、「暗号の解読」よりも「カード番号の生成」による犯罪を心配された方が現実的だと思います。

クレジットカードの番号は、カード会社ごとに一定の規則に従って生成されています。
この規則は簡単に知ることができるので、知識があれば誰かが使っているであろうカード番号を簡単に生成することができます。
詐欺師はニセの店舗で、「このカード番号でお客様が買物をされました」と言えば、カード会社から代金が支払われ、その請求はカードの持ち主に行きます。
もちろん、その人は買物なんかしていないのですが、明細書をキチンと見なければ気付くことはありません。
ネットショップどころか、パソコンを持っていなくても、この手口の詐欺に合う危険はあるのです。
この手口はカードが普及し始めた頃からある古典的な手口ですが、未だに決定的な解決策はありません。

ちょっと話しが横道にそれましたが (^^ゞ 、暗号化に関してはそれほど心配する必要は無いということです。

通報する

> このシステムは標準化されてきているのでしょうか?
TLS(SSL)は標準化されています。
そう言うところではURLがhttps://からはじまりますが、見たことありませんか？


> きちんとした業者の場合は、暗号をかけている事が多いと言った話は聞きのですが、
> 現状はどのなのでしょうか?
TLS(SSL)を使っていないならきちんとした業者とは言えません。論外。


> 私は、シマンテック社のウィルス、セキュリティソフト、Noton 360を使用
> しているのですが、こう言ったソフトでも、最初の質問の場合のように、
> クレジットカードの番号を入力してショッピング決済したり、ユーザーID
> やパスワードを入力する際に、ウェブページに暗号をかける事が出来
> るソフトなのでしょうか?
できませんし、それはセキュリティソフトの役割ではありません。


> またキーロガーのような、トロイの木馬タイプのソフトが、もしインストー
> ルされた場合、Noton 360のようなセキュリティソフトでも、クレジットカー
> ドの番号やネットバンキングのユーザーIDやパスワードの盗み取りを
> 防ぐことは可能なのでしょうか?
これはセキュリティソフトの役割です。
防ぐことは可能ですが、セキュリティソフトは完璧でないことには注意してください。
（検出率は100%ではありません。）


> 最近、量子暗号に関したテレビ番組を見ました。
量子暗号は「情報理論的」に解読が不可能とされている暗号です。
量子暗号以外の安全とされている従来暗号は「計算量的」に解読が不可能だから安全とされている為、
量子暗号の安全性は従来暗号の安全性とは別次元の物です。

従来暗号は天文学的な時間をかけて鍵を総当たりすることができれば解くことができます（※）が、
量子暗号はそれができても解けません。

※ちなみに、安全な暗号とは総当たり以外に解読する方法が無い（ショートカットが無い）暗号のことを言います。


> 現在使われている暗号、あるいは暗号化は、数百桁の数同士の因数を掛け合
> わせる事が基本となっているのと聞きます。本当に、数百桁の数、あ
> るいは数千桁の数を因数分解しないと、暗号を解読出来ないような仕
> 組みになっているのでしょうか?
公開鍵暗号の一種であるRSA暗号の事を言っているのだと思いますが、
今のところ破られてはいない、つまり因数分解せずに解読することはできないようです。

通報する

1.　SSLを利用するタイプが普及していますね。
暗号化は通信する双方が対応する必要があるので俺ルールでは面倒が多いんです。
実用上困らない程度の強度はありますから、暫くこの路線が続くと思います。

2.　画面やキー入力を盗めばIDやパスワードを取れますし、自発的に喋らせる事も出来ます。
マルウェアからネット経由で監視、ハードウェアに仕込み、操作するところをカメラで撮影、
PC自体を盗む、電話で管理者に成りすまして自発的に喋らせる、などなど方法は色々あります。
ATMにカメラを仕掛けた、電話で騙して暗証番号を聞き出した、本物そっくりの偽通販サイト、なんて典型ですね。
Noton360は暗号自体には関わりませんが、これはこれで別の脅威に対応しています。

3.　量子暗号は「比較的」安全な通信を実現出来るだけです。
経路や中継器に細工して鍵を盗むことも、難しいとはいえ可能性はあります。
暗号自体が強固でも、暗号化前の平文を盗む、復号後の平文を盗む、なんて従来からの方法はそのまま適用出来るでしょう。


暗号通信を解析することは、現状でもかなり困難なことです。
それを正面から攻めるだなんて馬鹿のやることです。知恵のある人間はそれ以外の方法を考えます。
様々な手法を考慮し、損益やリスクを見積もり、適切な方法を採るでしょう。

あなたの自宅の壁や扉が高強度合金製ではないように、普通のガラス窓があるように、
ATMに警備員が常駐していないように、銀行があなたの情報をどう管理しているかわからないように、
あなたがやろうとしているその通販も安全ではありません。

通報する

暗号化技術そのものの回答ではないのすが、　暗号の強さ自体を気にするよりも
通信上の暗号化はそのように通信していることがブラウザに表示されるのでユーザーに分かりますが、
その先のサーバー側で保存されるデータの取り扱いは、いくらソフトを使ってもユーザーには分からないので
そちらのほうを気にしたほうがよいように思えます。

業者によっては、サーバー上に大事な個人データが平文でデータが格納されていることがあったり
データベース上では暗号化されていても、それの復号キーがアプリ上に格納されている場合があったり
厳重に運用システムができていても、内部犯行的にデータを持ち出しすることができたりすることもあります。
また、最近のドコモや楽天でのトラブルのように、システム側でトラブルや外部からの攻撃に弱くて
他人にメールが漏洩したり、ポイントが使われたりということもあり得ます。
（この場合は暗号解読よりもはるかにコストがかからないので）

さらに　同じパスワードを使い回ししていると、漏れた　IDパスワードがよそでも使えて
２次３次と被害が広がることもありえます。


なので、一般ユーザーが気にすべきは、暗号の強さよりも、
その業者でのこれまでのセキュリティートラブルやそのときのユーザー対応などをみて
セキュリティーに対する信頼度を客観的に判断する点と、
安易なパスワードの使い回しではないでしょうか。



なお、通信上のでデータの暗号化はブラウザが暗号化してサーバー側で復号化するので、
標準化されていますが、１種類ではありません。
それぞれの暗号の強さや、どの程度の計算コストで　解読できるのかは存じませんけど、
計算コストさえ無視できれば、解読できないものは　ないのでしょう。
それの逆説として　解読にかなりのコストがかかるのであれば、それに見合うリターンがなければ、
コストをかける意味がないので、今の暗号レベルはそれを１つの基準にして
強さを決めているのだろうと、私は理解しております。

通報する