暗号化ZIP でのパスワードの送り方

http://www.ntts.co.jp/products/ccraftmail/functi …

上記のURLでのパスワードの送り方について、

このパスワードは、
楕円曲線暗号やRSA暗号のような公開鍵暗号で守られているのでしょうか？

もしそうでないならば、
パスワード送信に公開鍵暗号を使わない理由がなにかあるのでしょうか？
受信者に楕円曲線暗号やRSA暗号の公開鍵、秘密鍵を作れるソフトを無料で配布すれば
受信者の作成した公開鍵でパスワードを暗号化して送れます。そうすれば、
受信するときにも安心してパスワードを受信できると考えます。

楕円曲線暗号などを使わない理由が分かりません。
その理由がお分かりの方よろしくお願いいたします。

No.5 ベストアンサー 回答者： hanabutako 回答日時： 2013/04/04 01:46

恐れながら、public key infrastructureについて全く理解してないと思います。

>公開鍵暗号で暗号化するにはその公開鍵が本物であることが保証されないといけないと思うのですが、それをどう担保しますか。例えば、質問者の偽物が公開鍵を公開していたら、偽物の公開鍵で秘密のメッセージが暗号化されると思うのですが。

| については、メールの送り先が本物の受信者なので、
| 本当の受信者の所に読めないメールが届くと言うことになるだけではないでしょうか？　
| メールのあて先に、本物の受信者がいると仮定しても良いと思っています。
| ZIP暗号化したデータや、パスワードの送り先が本当の受信であると仮定して良いと思っています。

質問者の主張は
ZIP暗号化したデータおよびパスワードの両方が盗聴可能なために
ZIP暗号化したデータは復号でき、安全ではない
ということだと思ったのですが、違うのでしょうか？

本当の受信者に読めないメールが届き、攻撃者 (以下、オスカー) は読めるメールを手にしますよね。
例えば、ボブの公開鍵を騙ってオスカーが公開鍵 (Kfake) を公開しているとしましょう。
ここで、アリスがボブに秘密のメッセージを送る場合、ボブの公開鍵としてオスカーが公開しているKfakeで暗号化するとオスカーが復号できます。
ここで、アリスが上記のZIP暗号化を行い、ZIP暗号化に使ったパスワードをKfakeで暗号化して送るとオスカーはそのパスワードを復号できるわけですから、復号したパスワードを使ってZIP暗号化も復号することができます。
というわけで、公開鍵暗号を使ったからといって必ずしも安全にはなりません。

もし、Kfakeがボブの公開鍵であることを証明する方法があればこんなことは起きません。Kfakeには当然認証局の電子署名が行われていないので、電子署名が検証できないものをアリスが使わなければこの事態を避ける事ができます。

あと、質問者は電子メールが宛先に必ず届くと思っているかもしれませんが、DNS cache poisoningなどで、メールサーバーそのもののなりすましが行われていると、オスカーが管理するメールサーバーにダイレクトにボブへのメールが送られます。

もっとリテラシーが低い状況を考えると、メールのFrom行はだれでも簡単に偽装できるので、「オレオレ、メールアドレス変わったからさ、今度からこっちにメールを送ってよ」と書いたメールをオスカーがアリスに送るというアプローチも思いつきます。アリスがあっさりこれに騙されてしまうとしたら、どんな暗号化を持ってきても守れないですね。


閑話休題
もし、
ZIP暗号化したデータおよびパスワードの両方が盗聴可能なために
ZIP暗号化したデータは復号でき、安全ではない
ということではないとしたら、攻撃を想定する部分と攻撃を想定しない部分を説明してもらえますか。
どういう人から何を守ることを想定しているかで取るべきアプローチも変わると思うのですが。


> たとえば、最初に送ったZIPファイルのあて先と、あとから送るパスワードのあて先が
> 同じ場合は、公開鍵暗号のソフトを相手に送る。

そもそも、ソフトを入れられる環境なら独自形式なんか使わずにS/MIMEを使えば良いと思います。
https://www.verisign.co.jp/basic/pki/smime/
今時のMUAなら大抵対応しています。
また、今時のまともなメールサーバーはSSLを普通に話すので、そこのところをちゃんとしているところを盗聴するのはまず無理だと思います。

この回答へのお礼

考えが不足している所を指摘していただき、ありがたく思います。

一番に考えているのは、安全に関する大切な部分を送信者に任せるのではなくて、
企業側からのしっかりした提案と具体的な手段を付け加えていただきたい。
ということです。ＮＴＴや日立などは楕円曲線暗号に関する優れた技術を持っています。
そのうえで、送信者がＦＡＸを選ぶならそれはそれで配慮しているとかんがえます。


最初に、

ZIP暗号化したデータおよびパスワードの両方が盗聴可能なために
ZIP暗号化したデータは復号でき、安全ではない
ということではないとしたら、攻撃を想定する部分と攻撃を想定しない部分を説明してもらえますか。
どういう人から何を守ることを想定しているかで取るべきアプローチも変わると思うのですが。

一番関心があるのは、パスワードの乗っ取りでメールサーバーの中をのぞかれることです。
通信経路の盗聴は時間とお金の面で効率が悪いと思っています。（通信経路での盗聴は無いと仮定する）
メールサーバーの覗き見は、たまっている情報に一度にアクセスできるので安上がりで効果的だと思っています。Ｇメール、gooメール　のパスワード流出などが気にかかっています。
いまのところ、1社だけ、”会社としてのメール管理+S/MIME” を提案している会社がありました。
S/MINE　は受信者側も料金がかかると思っています。受信者側が無料ならいいのですが。
また、Webメールへの対応がされていないと思っています。（誤解かもしれません）



それから、

例えば、ボブの公開鍵を騙ってオスカーが公開鍵 (Kfake) を公開しているとしましょう。
ここで、アリスがボブに秘密のメッセージを送る場合、ボブの公開鍵としてオスカーが公開しているKfakeで暗号化するとオスカーが復号できます。

については、公開鍵を長い間公開しておくのは損だと思っています。
受信者が公開鍵を作成したら、すぐに送信者のほうにだけ送ってそれを使ってもらうようにする。
他には公開しない。
送信者は、一般に公開されているものは使わないほうが良いと思っています。




それから、

もっとリテラシーが低い状況を考えると、メールのFrom行はだれでも簡単に偽装できるので、「オレオレ、メールアドレス変わったからさ、今度からこっちにメールを送ってよ」と書いたメールをオスカーがアリスに送るというアプローチも思いつきます。アリスがあっさりこれに騙されてしまうとしたら、どんな暗号化を持ってきても守れないですね。

このばあいは、アリスの送るメールが、ボブの公開鍵で暗号化されていれば、
オスカーがボブの持っている秘密鍵をコピーしていない限り、
暗号化されたメールの中身は見れないと思っています。
それから、公開鍵も変更したよと言ってきた場合は、
古い公開鍵と新しい公開鍵で2重に暗号化する。



それから、

あと、質問者は電子メールが宛先に必ず届くと思っているかもしれませんが、DNS cache poisoningなどで、メールサーバーそのもののなりすましが行われていると、オスカーが管理するメールサーバーにダイレクトにボブへのメールが送られます。

このばあいは、解決策はまったく分かりません。



他の観点についてはしばらく考えて見ます。
アドバイスありがとうございました。

お礼日時：2013/04/04 08:38

No.8 回答者： Rice-Etude 回答日時： 2013/04/04 15:25

No.7のお礼欄にあった件ですが、これについてはすでにPKIの機能として組み込まれてあります。

「鍵 失効」で調べてみて下さい。

まず、なぜ公開鍵暗号はPKIとセットでなければならないかを考えてみるとよいかと思います。

＃公開鍵に何の保証もない場合は、どんなやり方をしようともMan-in-the-middle-attackの脅威から逃れることはできません。

メールのセキュリティについてですが、そもそもメールが古き良き時代の「みんな信用できる」というインターネット草創期からあるものなので、どんなやり方としても結局は付け焼き刃であり、その付け焼き刃の部分（追加するアプリとか）のコストから強固なセキュリティを導入するところはそんなに多くないと思いますので、ドラスティックな解決は無理だと思っています。

＃だからこそ、暗号化したファイルを送ったのとは別メールでその暗号鍵（パスワード）を送るといったソリューションが安易に使われてしまっているわけです（ほぼコストがかからない）。これはセキュリティ屋の怠慢ではなく、システム運用する側の問題です。

この回答へのお礼

親切に指導していただきありがとうございます。

＃だからこそ、暗号化したファイルを送ったのとは別メールでその暗号鍵（パスワード）を送るといったソリューションが安易に使われてしまっているわけです（ほぼコストがかからない）。これはセキュリティ屋の怠慢ではなく、システム運用する側の問題です。


この部分では、
安全な通信システムを提供する企業のほうから、

Aランク：暗号メール管理システム+S/MIME
Bランク：暗号メール管理システム

のように提案があれば、
会社によっては、
うちはBランクだから、パスワードは、FAXか電話に限る
と言うような社内規定を作って、その旨を顧客に説明しておけば
その会社の信用度が上がると思います。

Aランクを導入した会社は
お客と相談して、S/MIME　を使ったりする。

こんな風になれば、
別メールでその暗号鍵（パスワード）を送るといったソリューションが安易に使われてしまっているわけです
と言うような事態が減ってきて、日本のセキュリティーに関する認識の内容が
他の国からもう少し信用してもらえるようになる、

と思ってしまいます。

PKI　に関しては、また勉強してみます。


独り言；
鍵の長さが256ビットだと、
4ビットごとに16進数で表示すると64文字になる。
FAXでもらった文字の入力が面倒ですね。

お礼日時：2013/04/04 18:58

No.7 回答者： Rice-Etude 回答日時： 2013/04/04 11:18

No.6です。

補足です。

先ほどの回答で、なぜ研究会に出て直接議論することを提案しかたというと、質問者様が暗号理論に関することをまだちゃんと理解していないところがあるとお見受けしたからです。

例えば、No.6の方へのお礼欄に
「公開鍵を長い間公開しておくのは損だと思っています。
受信者が公開鍵を作成したら、すぐに送信者のほうにだけ送ってそれを使ってもらうようにする。
他には公開しない。
送信者は、一般に公開されているものは使わないほうが良いと思っています。」
と書かれておりましたが、これだったら公開鍵暗号を使う必要はないということはおわかりですか？「鍵を送信者にだけ送って、他には公開しない」ということが実現できるということは、この鍵を送るための安全な通信路が確保されているということになります。そうであるなら、何もわざわざそこで公開鍵を送る必要はなく、共通鍵暗号の暗号/復号鍵を送る、あるいはこの安全な通信路を使ってデータそのものをやりとりすれば良いわけです。

失礼なことを申して申し訳ございませんが、こういった研究会に出るのが難しいようでしたら、まずは近くの大学で暗号に関する授業をされていたらそれを聴講するなどでもよいので、暗号理論の勉強をされてみてはいかがでしょうか？

この回答へのお礼

いつも教えていただきありがとうございます。

1点だけ誤解がありますので補足いたします。

鍵を送信者にだけ送って、他には公開しない

の部分ですが、安全な通信経路があると思ってはいません。

たとえば、RSA暗号で
e と n の組 (e, n) = (184436886841, 86706662670157) を公開
しておいたとします。

一般に誰でもアクセスできる形で公開しておいて、長い間これを使うとなると
いつの間にか、ｎ　が因数分解されているかもしれません。

外部への公開は必要最低限にして、
どうしても必要になったらそのときに、PCの性能などを考慮して
長い鍵を作って、必要最低限のところに送ればよいと言う意味です。


もしかしたら、
結論は、”社内での暗号メール管理システム+S/MIME”
になるかもしれませんが、受信側は無料で、Webメールにも対応しているようなものが
あればよいと思っています。

ご指導ありがとうございました。

ご意見としては、
”社内での暗号メール管理システム+S/MIME”
が必要である。と理解してよろしいでしょうか？

お礼日時：2013/04/04 13:05

No.6 回答者： Rice-Etude 回答日時： 2013/04/04 10:49

以前、楕円曲線暗号に関する質問に回答させていただいた物です。

直接の回答ではありませんので、無視していただいて構いません。

もし良かったら、例えば次のようなところに参加して、直接議論されてはいかがですか？

情報セキュリティ研究会（ISEC）
http://www.ieice.org/~isec/

情報通信システムセキュリティ研究会（ICSS）
http://www.ieice.org/~icss/

コンピュータセキュリティ研究会（CSEC）
http://www.iwsec.org/csec/

なぜ質問者様が疑問に思うようなことが起きるのか、分かってくると思います。

＃蛇足ですが、もし異なる組織間で公開鍵ベースのプロトコルを動かすなら、安全性を考えたらPKIは必須です。PKIを伴わないものは、質問者様が想定しているやり方をしたとしても（実質問題あるかないかは別として）安全な通信は行えないと考えるのがセキュリティ研究者です。

No.4 回答者： ok-kaneto 回答日時： 2013/04/03 22:52

経路を暗号化するだけならVPNやらsFTP、SSH等なんでもあると思いますが...

>楕円曲線暗号などを使わない理由が分かりません。
商売のためだと思います。その会社じゃないので予想ですが。

そんなことよりもメールやらPOPのパスワードやら対策すべきこともたくさんあると思いますが。

この回答へのお礼

ありがとうございます。

個人的には、AESやカメリアなどで多重暗号化するメールソフトを使っています。
これだと、自分のPCで暗号化して、相手のPCで復号化されます。


回答をいただいた各社には、
公開鍵暗号によるパスワード交換システムを追加して下さいとお願いしました。
これがあったほうが、情報の安全性に関していろいろ考えていることをユーザーにアピールできるので
商売がやりやすくなると思っていますが、このお願いに対しての回答はまだありません。

各社とも日本を代表するような会社です。
理論的に考えても十分安全性を考慮してあるシステムを
世界に提供して欲しいです。
情報セキュリティーの分野で世界のトップを走るようになって欲しいと願っています。

お礼日時：2013/04/03 23:57

No.3 回答者： hanabutako 回答日時： 2013/04/03 01:25

わざわざパスワード暗号方式だけを取り出しているところにNTTソフトを叩きたいだけの恣意的なものを感じ、まじめな回答していいのか悩むところですが、件のページにこう書いていませんか？

| 公開鍵暗号方式（RSAおよびCamellia併用）とパスワード暗号方式（ZIPまたはCamellia）から選択可能

これを見る限り、
> オプション（料金追加）で、公開鍵暗号による
> パスワード交換システムをつけて欲しいです
というのはすでにある機能に見えます。追加料金が必要かは知りませんが。


ところで、質問者の話には認証局についての話が一切出て来ませんが、そこのところ大丈夫ですか。
公開鍵暗号で暗号化するにはその公開鍵が本物であることが保証されないといけないと思うのですが、それをどう担保しますか。例えば、質問者の偽物が公開鍵を公開していたら、偽物の公開鍵で秘密のメッセージが暗号化されると思うのですが。

ちなみに、HTTPSで接続するウェブサイトの場合はVeriSignなどに審査をしてもらって正しい公開鍵であると署名をしてもらい、ブラウザに予めインストールしてあるVeriSignの公開鍵で署名が正しいことをチェックしてその公開鍵が正しいことを知ることができます。なお、署名には有効期限があり、無効となった署名の確認手段も提供されているので万が一公開鍵に対応する秘密鍵が攻略されてもそれを無効にすることができます。

下記のURLから理解した範囲内だと、CipherCraft/Mailが送信先にもないと公開鍵暗号は使えないとのことで、この製品がちゃんと管理されて運用されているということで正しい公開鍵であることが保証されるんでしょうね。
http://www.source-pod.com/stil/sero/prevent/2009 …
実際にこのソフトがどう作られているか知りませんが、もし自分が作るとしたら前述のブラウザと同じようにして、独自のPKIを構築して安全性を担保するでしょう。


あと、パスワード通知を使っていたとしても、何らかの安全な方法でパスワードを教えられるなら安全だと思います。パスワード通知が傍受できない場合、質問者はどうやって暗号化された通信内容を攻略しますか？
パスワードをメールで送りつけるのはあまり安全な方法で教えているとは言いがたいですが、例えばFAXする場合、攻略をするにはメールの通信とFAXの両方の傍受が必要なので、その分難しくなります。


完全に余談で、#1さんの知識のアップデートのために書きますが、いまどきの暗号化されたZIPファイルの攻略は難しいと思います。詳しくは下記からリンクしたPKZIPとWinZIPの仕様を見てください。
http://oshiete.goo.ne.jp/qa/7938179.html


というわけで、自分も初見ではひどいシステムかと思ったのですが、ちゃんと見て考えるに、安全側になるように気をつけて使えば別にバケツの底は抜けていないと思います。まぁ、よくわかってない人が適当に使うと簡単にバケツの底は抜けそうですけど、"公開鍵暗号の選択肢があっても使わないのはユーザーの責任。"というやつでは？

この回答へのお礼

NTT だけを批判したいわけではありません。

日立の秘文についても同様でした。

【回答】
この度は、秘文をご検討頂きまして誠に有難うございます。
受信者の、復号用パスワード入手に関しましては、様々な方法がございます。
暗号化されたメールとは別メールで、暗号化せずに送付したり、
お電話で通知したり、または、予め復号用パスワードを固定で決めておく
などの運用方法もございます。
以上、宜しくお願い致します。


他にも1社から回答をいただきましたが、パスワードの送り方は送信者任せでした。
企業としては、パスワードの安全な送り方として考えられる
公開鍵暗号による交換方式を利用者に提供すべきだと考えています。

NTT　からの回答にはご指摘の部分は含まれていなかったので
一部誤解していたところもあります。
もしかしたら秘文から秘文なら公開鍵暗号が使えるかもしれません。

でも、相手が同じシステムを持っていなくても、
公開鍵暗号によるパスワード交換システムは使えると思っています。

たとえば、最初に送ったZIPファイルのあて先と、あとから送るパスワードのあて先が
同じ場合は、公開鍵暗号のソフトを相手に送る。ただし、最初の1回だけ。相手が希望する場合のみ。

暗号化による安全を売るなら、なるべく首尾一貫したシステムにして欲しいと思っています。
日本の技術力の高さがはっきり分かるような製品を作っていただきたいと思っています。



公開鍵暗号で暗号化するにはその公開鍵が本物であることが保証されないといけないと思うのですが、それをどう担保しますか。例えば、質問者の偽物が公開鍵を公開していたら、偽物の公開鍵で秘密のメッセージが暗号化されると思うのですが。

については、メールの送り先が本物の受信者なので、
本当の受信者の所に読めないメールが届くと言うことになるだけではないでしょうか？　
メールのあて先に、本物の受信者がいると仮定しても良いと思っています。
ZIP暗号化したデータや、パスワードの送り先が本当の受信であると仮定して良いと思っています。

私の誤解でしたらご指摘下さい。

いろいろ教えていただき、ありがとうございます。

お礼日時：2013/04/03 07:10

No.2 回答者： ok-kaneto 回答日時： 2013/04/01 11:44

特定の商品に関する質問は部外者では答えようのないものがありますので、直接にお問い合わせ頂いた方が簡単かつ間違いないとおもいます。

https://www.ntts.co.jp/products/ccraftmail/q_for …

この回答への補足

回答が来ました。


パスワード通知については、
添付ファイルがパスワード化されて配送されるのとは別に、
メール作成者に通知する仕組みをご提供しております。
お客さまでは、そのパスワードを別の手段で受信者へ
案内するようになっております。
また、当ソリューションは誤送信防止対策をメインとした
ソリューションとなっており、利用勝手の観点からも、
上記のようになっております。


とのことでした。
せっかくの暗号化機能も、
公開鍵暗号で暗号化したパスワード交換システムが無ければ
底の抜けたバケツのようなものです。
外国の人から、日本人のセキュリティーに付いての認識を疑われてしまいます。
使い勝っての面もあるなら、
オプション（料金追加）で、公開鍵暗号による
パスワード交換システムをつけて欲しいです。とても残念です。

補足日時：2013/04/02 16:37

この回答へのお礼

ありがとうございます。

アドバイスにしたがって、質問を送ってみました。

お礼日時：2013/04/01 13:44

No.1 回答者： 5S6 回答日時： 2013/04/01 11:42

> このパスワードは、

> 楕円曲線暗号やRSA暗号のような公開鍵暗号で守られているのでしょうか？

Camelliaという暗号のようです
公開鍵ではないようですね。AES互換

> パスワード送信に公開鍵暗号を使わない理由がなにかあるのでしょうか？
> 受信者に楕円曲線暗号やRSA暗号の公開鍵、秘密鍵を作れるソフトを無料で配布すれば
> 受信者の作成した公開鍵でパスワードを暗号化して送れます。そうすれば、
> 受信するときにも安心してパスワードを受信できると考えます。


社内メールでこれを使ったメールがたまに来ます。
暗号事態は無料でありますが、ようするにビジネスモデルとしてはこれに
ログ機能などをつけて売りたいわけです。


AcrobatもReaderは無料です。
Acrobatがないとハブリッシングはできませんが、読み込みができます。
今は多く普及していますが、Readerが入っていない。セキュリティ上入れられない。
という場合は表示すらできません。

メールも同様で、受信無料みたいなソフトを作ってもそれをいれないればいけません。
暗号自体は世界基準がありますが、メールの送受信となると客、相手に対してこのソフトを
使って安全にメールが読めます。というのは難しいです。
だから結局PGPもあまり普及していません。

そこで添付ファイルの暗号化、ZIPファイルの暗号＋別メールでそのパスワードを送る。
というのが実際の運用方法です。
ただメールが分かれているだけで、結局はパスワードも平文で送りますからね。
毎回違うパスワードですけど。

あまり効果は期待できないと思います。

ターゲットのＰＣに入れる、または他人のアカウントのログイン情報を知っていれば
事実上これは無意味ですからね。


ZIPファイル、
昔はPKZIP,PKUNZIPに分かれていました。
PKZIP(圧縮)が有料、PKUNZIP(解凍)は無料
Wizipは有料です。
ZIPファイルは今やWindows標準で解凍できます。
圧縮の場合もフリーでいろいろありますけどね。
でもこれは最新形式のZIPでなく、大昔からあるZIP形式です。

ZIPの暗号は弱いです。解読ツールでかなり高速な解読ができます。
同じく書庫のファイルRARは暗号強度が高いです。
解読プログラムはありますが、とてもとても遅いです。
CPUにi7とか積んでいてもたかがしれています。



>
> 楕円曲線暗号などを使わない理由が分かりません。
> その理由がお分かりの方よろしくお願いいたします。
>


まるで情報処理の試験のようですが、iPhoneのシェアが日本では異常に高いのは
ソフトバンクの洗脳作戦。とも言えます。いわば営業の結果。

セキュリティを高めると、使う方が面倒くさい。
指紋認証もノートＰＣの安価モデルでも一時期ついていました。
オプションでも+2000円程度
でも最近はつかなくなりました。
使うのが面倒、心配だ。というのがあるんでしょうね。

だから普及しません。

この回答へのお礼

参考になるお話しありがとうございます。

せっかく暗号化するなら、パスワードも暗号化して欲しいものです。
NTT　のほうにも直接質問のメールを送ってみました。

お金をもらって仕事しているなら、
オプションとして、公開鍵暗号でのパスワード受け取りを残して欲しいです。
公開鍵暗号の選択肢があっても使わないのはユーザーの責任。
公開鍵暗号の選択肢が無いのはメーカーの責任。
このままでは、
日本の技術力が世界から信頼してもらえなくなりそうな気がしています。

残念な現状です。

お礼日時：2013/04/01 20:05