HEADER
検索更新情報サイトマップ English Chinese


バックナンバー一覧はこちら >>

インターネットセキュリティ講座
 第6回 (最終回) 「暗号化」

株式会社ネットワークボックス・ジャパン(NBJ)代表取締役社長の坂野直人(ばんのなおと)です。

当講座も今回が最終回になってしまいました。インターネット・セキュリティの世界は技術的な面でも管理的な面でも非常に奥が深く、しかも範囲も広く、そのうえ技術や社会の環境が秒速で変化しています。ともすると初回に書いたことが連載中に時代遅れになってしまいかねません。そこで、やむを得ず今回の暗号の話を最後に当講座のシリーズを完結することにしました。

さて、前回まではハッカー(クラッカー)やウィルスの侵入、そして内部者による不正行為を如何にして防ぐかに重点を置いて述べてきました。今までの対策は全てネットワークの防壁を強化して不正行為者の侵入を阻止する方向、すなわち「要塞化」に視点を置いたものでした。

暗号化はこの視点とは別次元の対策といえます。すなわち、侵入されたり盗聴されたりして万一「データ」が盗まれたとしても、暗号のプロテクトによって「情報」さえ流出しなければセキュリティは確保できるというポリシーで成り立っているわけです。

暗号がメインテーマになった小説

ミステリー作家として有名なエドガー・アラン・ポーの小説に「黄金虫(こがねむし)」という短編作品があります。この作品はしばしば暗号の入門書などに引用されています。というのも、1843年に発表されたこの作品の主要なテーマが「暗号解読」にあるからです。

この作品は、主人公のウィリアム・ルグランという没落した資産家の子孫が、サウスカロライナ州の山中に隠されていた海賊キッドの財宝を一遍の暗号文を頼りにみごとに掘り当てるという物語です。論より証拠で、当作品に登場する暗号を実際に見てみましょう。


「黄金虫」に登場する海賊キッドの暗号
( 「黄金虫」:エドガー・アラン・ポー著、佐々木直次郎訳(新潮文庫)参照)

上記がキッドの財宝を探し当てるヒントとなり、主人公ルグランが「僕はいままでにこの一万倍もむずかしいのを解いたことがある」と小説の中で豪語した暗号です。

上が暗号文で矢印の下の英文が解読された原文(平文)です。解読された暗号がどんな意味でどんなふうに使われたのかは、実際に作品を読んでみて確かめて下さい。この作品が暗号の専門書に取り上げられるのは、この暗号が単に物語の小道具として使われるに留まらず、実際に「換字式暗号」という暗号化のテクニックが採用されていて、しかも解読のプロセスまで専門的に解説しているところにあると思います。
  【換字式暗号】
   

この暗号方式は「ブロック暗号」とも呼ばれ、原文の各文字を別の文字や記号に置き換えて暗号化する方式です。このタイプの暗号は歴史上の人物であるシーザーや上杉謙信も使ったといわれ、この方式の一種の「文字換字式暗号」は「シーザー暗号」とも呼ばれています。

文字換字式暗号には「鍵語式換字表」すなわち「暗号鍵」を用いる方法と、シーザー暗号のようにアルファベットを一定の文字数ずらして読む方法などがあります。海賊キッドの暗号がどのように変換されているのかを示す鍵語式換字表を次に示しましょう。


キッド暗号の鍵語式換字表
  【換字式暗号解読法】
   

ポーの小説ではキッド暗号をリアルに解読するくだりがあって、主人公ルグランを通じてそのプロセスが詳細に語られています。その手法をまとめると以下のようになります。

  • どこの国語であるか判定する→英語と判定
  • 各文字について暗号文に登場する頻度を調べる
  • 英語で最もしばしば使われる文字から頻度順に列挙する
  • 最も頻繁に現れる暗号文字と最も頻繁に使われる英文字”e”を対応させる
  • “e”が連続している個所を探し”ee”を含む単語を推定する
  • 推定された単語に対応する記号を特定する
小説で用いられている暗号は、主人公が主張するとおり最も単純な部類のものでしょう。現代では本物の暗号として実用に耐えるシロモノではありません。また上記のプロセスの前にまずこれが換字式暗号であることを見抜く必要がありますが、そこはやはりお話の世界ですね。
     

暗号の体系
シーザー暗号はアルファベットをある特定の数字(これが鍵になります)の数だけ文字をずらして暗号化します。しかしながら、これだとたった26個の鍵しか使えず、総当りで試せば人手でもたちどころに解読できてしまいますね。彼の時代ではこれでも立派に暗号として役に立ったのでしょうが、コンピュータが普及した現代ではそうはいきません。

シーザーの時代から暗号技術を発達させたのはいつも戦争でした。だから一般の人たちが暗号に親しむことはなかったのです。ところがインターネットの普及によって不特定多数の人同士の通信が日常的になった現在、暗号はとても身近な技術として注目されるようになりました。

コンピュータの発達と共に暗号の世界は文字そのものではなく、文字コードのビット列を操作する方式に変わってきています。それにともなって「鍵」の形態も換字表からビット列の形に変わりました。ただし暗号化の方式によっては、鍵の形態や運用、そして演算方法も大きく異なってきます。これらを大きく分けると「対称暗号系」と「非対称暗号系」の2つの体系に分類されます。前者は暗号化と復号化の鍵が同一であるのに対して、後者は暗号化と復号化に別々の鍵を用います。対称暗号系の代表例がDES方式(現在はAES方式が先端技術)で、非対称暗号系の代表例がRSA方式などの「公開鍵暗号方式」です。
【対称鍵による暗号化と復号化】
   

ビット列の鍵がどのようにしてメッセージを暗号化・復号化するのか興味があるところですね。そこで対称暗号系の一種のヴァーナム暗号方式を用いた実例を紹介しましょう。

この方式は元のメッセージと鍵の長さが同じであるという特長を持っていて、鍵が漏洩しない限り数学的に絶対に解読できない暗号として有名です。しかしながらメッセージと同じ長さの鍵が必要なため、実用には程遠い暗号方式です。

ここでメッセージとして”X”というアルファベットのASCIIコード値である”1011000”を用い、対称鍵は解かりやすいように”1010101”という7ビットのデジタル値としました。対称鍵による暗号化・復号化には「排他的論理和(Exclusive OR)」という演算が使われます。数学やコンピュータの専門家でない人でも学生時代の数学の授業で聞いた覚えがあると思いますが、次のような演算を行います。いちばん右の欄がaとbの排他的論理和の演算結果です。


排他的論理和

文字”X”と鍵” 1010101”との排他的論理和を演算した結果を下記に示します。


対称鍵による”X”の暗号化

今度は演算で得られた暗号データを同じ鍵を使って復号化してみましょう。


対称鍵による”X”の復号化

同じ鍵で同じ排他的論理和の演算をすることによって、確かに元のメッセージ”X”が得られることが解かります。
【公開鍵暗号方式による暗号化と復号化】
    対称鍵暗号方式は演算が高速に行えるため広く普及しましたが、暗号と復号に同じ鍵を用いるために鍵の受け渡しや運用に難点があります。そこで現在のインターネットでは対称鍵の受け渡しの部分には公開鍵暗号方式が用いられるようになりました。公開鍵方式では暗号化の鍵を公開できるので、鍵の運用が簡単になり、インターネットなどによる商業利用にも適しています。

公開鍵暗号方式は先ほども述べたように暗号化と復号化には各々異なる鍵を用います。メッセージの暗号化は相手の公開鍵(public key)を用い、暗号メッセージの復号化には自分だけの秘密鍵(private key)を用います。

公開鍵は原則として誰でも入手できますが、秘密鍵は所有者本人しか所持しません。そして本人の公開鍵で暗号化したメッセージは、本人の秘密鍵でしか復号化できません。これが公開鍵暗号方式の大きな特長です。これを可能にしているのが素因数分解問題、離散対数問題あるいは楕円曲線問題を駆使した高度な数学理論です。これの概要だけ紹介しようとしても数ページを要してしまうため、ここでは公開鍵方式の暗号化メカニズムについては割愛します。
     

暗号のインターネットへの応用

冒頭にも述べたようにインターネットの脅威に対して自分の拠点を要塞化するのもセキュリティ対策のひとつですが、それだけではインターネットの活用に対して消極的すぎますね。暗号で守られた船に乗ってもっと積極的にインターネットの大海を縦横無尽に航海したいものです。私たちがすでに暗号の恩恵を受けている技術として、現在のインターネットでは下記のようなものが実用化されています。

  • PKI (公開鍵基盤)
  • 暗号メール (S/MIME、PGPなど)
  • Webコンテンツの暗号化 (SSL)
  • VPN (仮想私設回線)
これらの概要だけを以下にざっと見てみましょう。
  【PKI】
   

“PKI”とは”Public Key Infrastructure”の略称で、直訳すれば「公開鍵基盤」となります。簡単に言えば公開鍵暗号方式を用いてインターネット上で安全な通信を行うことができる基盤(インフラ)のことです。このインフラには公開鍵暗号を活用するための電子証明書の発行・運用システム、個人認証を行う認証局、そしてこれらを実現するハードウェアやソフトウェアなどが含まれています。

PKIについては大まかに説明しても大変なページ数を要するので、ここではそのポイントだけを紹介します。PKIが求められた背景には、全世界的にインターネットを通じた電子商取引(EC)が拡大してきたことが挙げられます。

地球の裏側の見えない相手とインターネットを通じてビジネスをするためには、国際的に共通かつ安全な基盤が必要になります。こういったニーズに対して現在最も信頼できる社会的基盤がPKIだということです。PKIが提供するサービスの核となるのは次の3つです。

  • 認証 (authentication)
  • 完全性 (integrity)
  • 秘匿性 (confidentiality)

「認証」とは「自分であると主張すること」を相手に対して保証する行為を示します。「完全性」というのは少し難しい概念かもしれませんが、「データが場所を変えても時間を経ても変更されていないこと」つまり「改ざんされていないこと」を保証することです。「秘匿性」は読んで字の如くですが、「意図した受信者以外は誰もデータを読むことができない」ことを保証することです。

PKIはさまざまなアプリケーションで使われており、また使われる可能性を秘めています。インターネットでのクレジット決済、インターネット上での個人認証、IDカード等々です。そして次に説明する暗号メール、SSL、VPNなども実はみな基本的にPKIを応用したアプリケーションなのです。私たちはその存在を意識することなく、日常これらの技術を活用しているかもしれないのです。
  【暗号メール】
    皆さんの中には” -----BEGIN PGP SIGNATURE-----”というタイトルを含んだファイルが添付されたメールを受け取ったことがある人がいると思います。これが暗号メールで使われているPKIの電子署名です。

暗号メールはこのPGP(Pretty Good Privacy)と呼ばれるものとS/MIME(Secure Multipurpose Internet Mail Extensions)が有名です。前者は正規の認証局を必要としない個人間のネットワークで簡易的に使われているものです。後者はメールで画像や漢字を送信できるMIMEという規格に暗号化機能を追加したもので、電子証明書を発行する認証局を必要とします。
  【SSL】
   

皆さんはネット通販のサイトやインターネット・バンキングのログインのとき、下記のメッセージが表示されることに気がついていると思います。

これは「これから先はSSL(Secure Socket Layer)で通信しますよ」というメッセージで、表示されたページのURLはhttpの代わりに”https”というプロトコル識別子で始まります。SSLはPKIの手続きによって暗号鍵をサーバとクライアントとの間で受け渡し、送受信されるコンテンツを暗号化します。Webコンテンツの暗号化技術としてはおそらく最も普及しているものでしょう。実はSSLはhttpだけでなく、ftpやtelnetといったお馴染みのアプリケーションにも対応しています。
  【VPN】
    VPN(Virtual Private Network)とはインターネットを専用線のように安全にしかも安価に利用するための技術です。今まで述べてきたようにインターネットは本来セキュリティ面では全くの無防備状態です。従って従来は機密情報を遠隔のコンピュータ間でやり取りする場合は、インターネットを使用せずに専用線を経由して行われていました。しかしながら専用線は使用料が高額なため、限られた企業しか使えないインフラです。

VPNはよくトンネルに例えられますが、実際にVPNで結ばれた回線を「トンネル」と称しています。このトンネルを通過するデータは全て暗号化され、トンネル外の誰からも盗聴されることなく情報の受け渡しが可能です。このトンネルはコンピュータ間、拠点とコンピュータ間、拠点間のいずれの形態でも形成することができます。

VPNにはいくつかのサービス形態があります。電気通信事業者がインフラを提供するIP-VPN、ブラウザを介して簡易的に利用できるSSL-VPN、そしてユーザ自身がインフラを構築するインターネットVPNなどがあります。

VPNの機能は最近ではファイアウォールやルータに標準で装備されるようになりました。これらの機器を活用するか、VPNのクライアントソフトウェアを搭載したPCを活用すれば手軽にVPNを利用することができます。またIPSECやPPTPといった規格のVPNであれば、Windows2000やXPのプロフェッショナル・バージョンに標準で搭載されています。
     

ご愛読有り難うございました
以上で本講座を終了いたします。冒頭にも書きましたが、インターネット・セキュリティの世界は広範な上に奥が深く、入門編といえども全ての分野を網羅するのは容易なことではありません。まだまだ不足している情報が一杯ありますし、私自身の不勉強や理解不足などで後日誤りに気付くことがあるかもしれません。読者の皆さんでも疑問に感じた個所がありましたら、ぜひ忌憚のないご指摘をお願いいたします。ご愛読有り難うございました。

株式会社ネットワークボックス・ジャパン
代表取締役社長
坂野直人
 
「インターネットセキュリティ講座」はこれで終了です。
 
 
インターネット・セキュリティについてのご相談は、
日本ユニシス・エクセリューションズの担当営業まで、
もしくは こちら からお問い合わせください。
   

お問合わせは こちら

All Rights Reserved. Copyright© 2002-2008 UEL Corporation