情報提供ネットワークシステムでの暗号

マイナンバーでのデータ通信に暗号を利用するようですが、

２ 「第25条の規定に違反して秘密を漏らし、又は盗用し」
第25条のとおりである。すなわち、例えば、情報提供ネットワークシステムを運営する機関の職員等については、情報提供等事務において用いる符号、システムの機器構成・設定、暗号及び複号に必要な鍵情報等を漏らし又は盗用すること、情報照会者・情報提供者の職員等については、上記の符号、暗号及び複号に必要な鍵情報等を漏らし又は盗用することなどが、本条の対象となり得る。

質問１：盗られたら困る情報の1つであるマイナンバーをインターネットで流しても大丈夫なのでしょうか？（盗られて困る情報はネットには流さないのが常識だと教えていただきました。）

質問２：それとも、情報提供ネットワークシステムのデータが流れる光ケーブルは、インターネットのデータが流れる回線とは物理的に全く別のものとして設置されているのでしょうか？

質問３：この回線の途中には無線通信の部分は存在しないのでしょうか？

質問４：AES暗号などは、1週間で解読できると教えていただきましたが、ここで使う暗号はさらに特別で、解読には1億年くらいかかるものでしょうか？

質問５：復号の意味は分かりますが、”暗号及び複号”の複号とはどんな意味でしょうか？

以上よろしくお願いします。

No.1 回答者： area_99 回答日時： 2015/11/03 05:15

1.ネットワークとウェブは違います。

日本語上の混同ですね。
2.外部（外線）とつながっていません。
3.はい。
4.暗号突破しても閲覧できませんけど？（システム上）
5.言葉の通りです。

この回答へのお礼

5ですが、

復号　と　複号　は同じ意味でしょうか？

お礼日時：2015/11/03 17:16

No.2 回答者： rekirekiten 回答日時： 2015/11/03 18:13

>複号

変換ミスでしょうね。
法文は本来の意味通りの「復号」ですが、国の資料によっては「複号」と書かれてしまっています。

よくある間違いなんですが、ロクなチェックもしていないのでしょうね。
マイナンバーのシステムもきちんとできているのかどうか心配にさせる事例ですね。

No.3 回答者： qexby 回答日時： 2015/11/05 02:40

> 質問１

> 質問２
> 質問３
「盗られて困る情報はネットには流さないのが常識」とういうのが分かりません。

> 質問４
１週間というのは総当たりですか？
鍵長によらない定数時間の解読ですか？
本当ですか？

> 質問５
±（プラスマイナス）のことです：）
二次方程式の解の公式に出てきます。

この回答へのお礼

ありがとうございます。

「盗られて困る情報はネットには流さないのが常識」とういうのが分かりません
これは、以前ここで質問して教えていただいたことです。
私は、”世界的に認められている暗号方式で、多重暗号化してネットに流す”
方が良いかなと思っています。


１週間というのは総当たりですか？
鍵長によらない定数時間の解読ですか？
本当ですか？
これも、ここで教えていただいたことです。AESも1週間で解けるとのことでしたので。
それでは、鍵を3種類、暗号方式を3種類用意して
1回目はAESで、2回目はCamelliaで、3回目はSerpentで3重に暗号化したものも1週間で解けますかと聞いたら、更なる解説はもらえませんでした。


±（プラスマイナス）のことです：）
二次方程式の解の公式に出てきます。
政府のマイナンバー解説の文書に。

上記の符号、暗号及び複号に必要な鍵情報等を漏らし又は盗用することなどが、本条の対象となり得る。

暗号と複号　とあったので、何で数学の複号同順のようなものが急に出てくるのかと疑問に思いました。
どうやら、政府の文書の間違いのようです。

お礼日時：2015/11/05 07:25

No.4 回答者： qexby 回答日時： 2015/11/06 03:44

＞ これは、以前ここで質問して教えていただいたことです。

ご存知のようですが、それらの回答は嘘であるか無知であるか、またはその両方だと思います。

もしかして回答者を試しているのでしょうか？

この回答へのお礼

民間の会社では、給与の支払いのときにマイナンバーを使います。
民間で作られたマイナンバーを含むデータの流れと暗号化が気になっています。

政府の文書では、適切に暗号化しなさいと書いてあったが、どのような暗号化をすれば適切なのか、が示されていない。何が適切な暗号化なのかを知りたいと思っています。
政府が、適切に暗号化しなさいというなら、適切暗号の強度について具体的に示して欲しい。
マイナンバーを扱う上での、暗号化の基準や推薦アルゴリズムもどこかにあるのかもしれませんが、見つかりません。

民間の会社にも、インターネットとは物理的に切断された、別回線の通信網が引かれているとは考えられません。全ての企業にマイナンバーのデータ専用の回線が引かれているのでしょうか？
データの処理が紙ベースでは、再入力でミスが出ると思うのです。そうすると、民間企業からの給与関連のマイナンバーを含むデータはインターネットを介して政府機関に届くのかなと思っています。

いろいろ教えていただいてはいるのですが、
暗号化はあまり役に立たないとか、インターネットには大切なデータを流さないのが常識だとか言われて、自分の考えが世の中では非常識なのかなと思いながら質問しています。

そんなわけで、ご迷惑をおかけしていますが、今後もよろしくお願いします。

お礼日時：2015/11/07 00:19

No.5 回答者： nh-mix 回答日時： 2015/11/06 20:09

質問１について

何か誤解があるみたいですが初期のインターネットではそんな事が言われていましたが現在はある程度情報の保護がなされていると思います。
インターネットで銀行振り込みなど出来たり、アマゾンや楽天などでクレジットカードの番号やパスワードなどを送っています。これ重要な個人情報で盗まれたら困るものです。

この技術は公開鍵暗号というものでインターネットの伝送路で盗聴されても暗号化されていて保護されているからです。
また初期に言われてのは相手のサイト自体が信用の置けない悪意のサイトがあり伝送路で安全でも相手が悪用する可能性があるというケースもありました。（現在でも偽サイトに誘導はあります）


質問２について

専用線だと思います。
情報提供ネットワークシステム概要
http://www.pref.wakayama.lg.jp/prefg/020400/kyou …
９ページの構成図に霞が関WANとＬＧＷＡＮが主なネットワークなのでそれをみると
霞が関ＷＡＮ
https://www.kantei.go.jp/jp/singi/it2/cio/dai13/ …
２７ページ
専用線です。

LGWAN
https://www.j-lis.go.jp/data/open/cnt/3/180/1/L- …
４ページ
行政専用のネットワーク（インターネットから 切り離された閉域ネットワーク）です。
とありますからインターネットと切り離されています。


質問３について
セキュリティーの観点からないと思います。

質問４
暗号化の時のカギの長さを１２８bitから２５６bitにすると相当安全性が高まります。

この回答へのお礼

民間の会社では、給与の支払いのときにマイナンバーを使います。
民間で作られたマイナンバーを含むデータの流れと暗号化が気になっています。

政府の文書では、適切に暗号化しなさいと書いてあったが、どのような暗号化をすれば適切なのか、が示されていない。何が適切な暗号化なのかを知りたいと思っています。
政府が、適切に暗号化しなさいというなら、適切な暗号の強度について具体的に示して欲しい。
マイナンバーを扱う上での、暗号化の基準や推薦方式もどこかにあるのかもしれませんが、見つかりません。

民間の会社にも、インターネットとは物理的に切断された、別回線の通信網が引かれているとは考えられません。全ての企業にマイナンバーのデータ専用の回線が引かれているのでしょうか？
データの処理が紙ベースでは、再入力でミスが出ると思うのです。そうすると、民間企業からの給与関連のマイナンバーを含むデータはインターネットを介して政府機関に届くのかなと思っています。

いろいろ教えていただいてはいるのですが、
暗号化はあまり役に立たないとか、インターネットには大切なデータを流さないのが常識だとか言われて、自分の考えが世の中では非常識なのかなと思いながら質問しています。

そんなわけで、ご迷惑をおかけしていますが、今後もよろしくお願いします。

お礼日時：2015/11/07 00:18

No.6 ベストアンサー 回答者： nh-mix 回答日時： 2015/11/08 13:03

＞暗号化はあまり役に立たないとか、インターネットには大切なデータを流さないのが常識だとか言われて、自分の考えが世の中では非常識なのかなと思いながら質問しています。

前回の回答にも書きましたが世の中ではインターネットバンキングが当たり前の様に行われ、アマゾンや楽天でクレジットカードが使われています。
これのデータ通信はインターネットで行われていて伝送路自体からデータが盗まれた事例はないと思います。
インターネットバンキングで個人のパソコンがウィルス感染してパスワードを盗まれたり、楽天の加盟業者に不心得者がいて顧客のデータが抜かれたという事例はありましたが

なのでインターネットでも適切が手法を用いれば途中でデータが盗まれることはほとんどないと思います。
興味があればSSLという用語を調べてみてください。

また企業などではVPNという手法で本店と支店（個人の端末なども）とかの通信をインターネットでしています。

＞政府が、適切に暗号化しなさいというなら、適切な暗号の強度について具体的に示して欲しい。
マイナンバーを扱う上での、暗号化の基準や推薦方式もどこかにあるのかもしれませんが、見つかりません。

インターネットの技術はどんどん進歩しています。なのでこれが安全ということは変わります。
コンピュータの処理速度がどんどん上がっていて暗号解読ができる範囲が広がっています。

SSLビット数などで検索すると時代と共にビット数を上げる経緯があります。これからも暗号解読の技術があがるので対応する様に暗号する側もレベルアップしていきます。なので法律で決めるより時代に合わせて変化した方が現実的です。
尚、行政側が暗号化の方式を変えると企業側も変えないと通信ができないのである意味行政の主導に従うしかないと思います。

個別のマイナンバーが盗まれてもそれ単独では詐欺など犯罪に使えない全体のシステムが必要だとおもいます。
楽天の例の様に悪意の担当者を完全排除できません（何万もある企業を監視できない）。盗まれる前提でシステムを組む必要があると思います。

この回答へのお礼

ありがとうございます。

暗号化は実際に役に立っているのですね。
https://support.google.com/mail/answer/21291?hl=ja

しかし、SSLはサーバーまでデータが届いた段階で暗号化解除されると考えています。
アメリカには、企業の口止めをする法律があり、
国からSSLサーバーに集まったデータを復号化して見せなさい。
と命令されると、公開の裁判所への異議申し立ても出来ないようになっています。
（スノーデン君の告発もありました。）
また、グーグルは復号化したメールの中身を機械的に検索すると公言しています。

SSL+個別の暗号化（SSL　+　end to end の多重暗号化）
あるいは、
行政提案の暗号化　+　独自の多重暗号化
（この多重暗号化の部分では、行政と企業の順序対ごとに暗号化方式と鍵を決めておく。）
に変えないとだめなような気がします。

暗号化の多重度を上げれば、コンピュータの処理速度の向上に対して少しは対抗できる。
と思っています。

さらに、
暗号化鍵の扱いは、3人の鍵データが揃わないと鍵としての機能を果たさない。
こんな鍵分散システムも必要ではないかと考えます。
こうすれば、担当者一人を買収してもデータは盗めない。
悪事が発覚しやすくなる。

マイナンバーに関連するデータを多く集めないのが、一番良いのでしょうが、
なんとか、被害が起きにくいマイナンバーシステムにして欲しいです。

お礼日時：2015/11/09 08:00