暗号化がセキュリティ戦略に与える影響について知っておくべきこと

news

セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。マイクロソフトの Voice of the Community ブログ シリーズ投稿の最新投稿では、 Microsoft Security Product Marketing Manager のNatalia Godylaが、Taurus SA の共同創設者兼最高セキュリティ責任者であり、「Serious Cryptography」の著者であるJean-Philippe “JP” Aumassonと対談しています。このブログ投稿では、JP が暗号化の知識を学び、適用してサイバーセキュリティ戦略を強化するための洞察を共有しています。

ナタリア: 何があなたを暗号学の分野に惹きつけたのですか?

JP:人々はしばしば暗号を数学と関連付けます。私の場合、学生時代は数学が苦手でしたが、暗号の応用や秘密に関係するすべてのことに魅了されました。暗号化は、秘密の科学と呼ばれることもあります。ハッキング技術にも興味がありました。インターネットの黎明期、私はオンラインのドキュメンテーション マガジンを読んだり、ハッキング ツールで遊んだりするのが好きで、暗号はこの世界の一部でした。

ナタリア: 組織内で、暗号化の基礎を熟知しているのは誰ですか?

JP: 10 ~ 15 年前に私に尋ねたことがあれば、暗号を専門とする社内の暗号学者がいれば、他の人が質問できると答えていたかもしれません。しかし今日では、暗号化は、私たちが使用するいくつかのコンポーネントに大幅に統合されており、それらのエンジニアが開発する必要があります。

良いニュースは、暗号が以前よりもはるかに親しみやすく、より適切に文書化されていることです.ソフトウェア ライブラリと API は、専門家でなくても簡単に操作できます。したがって、開発の観点から、開発運用 (DevOps) の観点から、さらには品質テストの観点から、ソフトウェアを扱うすべてのエンジニアは、暗号でできることとできないことの基本と、主要な暗号の概念とツールを知る必要があると思います。 .

ナタリア: 暗号化の概念についてエンジニアリングを教育するのは誰ですか?

JP:通常、セキュリティ チームが担当します。たとえば、 セキュリティ意識向上トレーニングなどです。開発を開始する前に、ビジネス ニーズに応じた機能要件を作成します。また、特定のレベルのセキュリティで保管中および転送中に暗号化する必要がある、個人データなどのセキュリティ目標とセキュリティ要件も定義します。これはまさに、セキュリティ エンジニアリングとセキュリティ アーキテクチャの一部です。私は、機密性、完全性、認証、 認証された暗号化などの基礎を人々に教えることを提唱します。

2 番目のステップとして、暗号化によってセキュリティの目標を達成する方法を考えることができます。具体的には、データを守らなければいけないのですが、「データを暗号化するってどういうこと?」と思うかもしれません。これは、適切な鍵サイズなど、適切なパラメーターを持つ暗号を選択することを意味します。基礎となるハードウェアおよびソフトウェア ライブラリの機能によって制限される場合があり、コンテキストによっては、Federal Information Processing Standard (FIPS) 認定アルゴリズムを使用する必要がある場合があります。

また、暗号化だけでは不十分な場合があります。ほとんどの場合、データの整合性も保護する必要があります。つまり、認証メカニズムを使用します。これを実現する最新の方法は、機密性と信頼性を同時に保護する認証済み暗号と呼ばれるアルゴリズムを使用することですが、これを実現する従来の方法は、暗号とメッセージ認証コード (MAC) を組み合わせることです。

ナタリア: 開業医が犯しがちなよくある間違いは何ですか?

JP:人々はよくパスワード保護を間違えます。まず、パスワードを暗号化するのではなく、ハッシュ化する必要があります — 一部のニッチなケースを除きます。次に、パスワードをハッシュするために、SHA-256 や BLAKE2 などの汎用ハッシュ関数を使用しないでください。代わりに、パスワード ハッシュ関数を使用する必要があります。これは、低速で、場合によっては大量のメモリを使用するように設計された特定の種類のハッシュ アルゴリズムであり、パスワードのクラックをより困難にします。

人々が間違いがちな 2 番目のことは、MAC アルゴリズムを使用してデータを認証することです。一般的な MAC 構造は、ハッシュベースのメッセージ認証コード (HMAC) 標準です。ただし、HMAC は MAC と同じ意味であると信じがちです。これは、MAC を作成する方法の 1 つにすぎません。とにかく、前に説明したように、今日では AES-GCM などの認証済み暗号を使用するため、多くの場合 MAC は必要ありません。

ナタリア: 暗号化の知識はセキュリティ戦略にどのように影響しますか?

JP:暗号化の知識は、情報をより費用対効果の高い方法で保護するのに役立ちます。人々はどこにでも暗号化レイヤーを配置したくなるかもしれませんが、問題に暗号を投げても必ずしも解決するとは限りません.さらに悪いことに、何かを暗号化することを選択すると、2 つ目の問題が発生します。キー管理は、暗号化アーキテクチャで常に最も困難な部分です。したがって、暗号化をいつ、どのように使用するかを知ることは、健全なリスク管理を実現し、システムの複雑さを最小限に抑えるのに役立ちます。長い目で見れば、正しいことをすることは報われます。

たとえば、ランダムなデータまたはバイトを生成する場合は、ランダム ジェネレーターを使用する必要があります。監査人やクライアントは、「真の」ハードウェア ジェネレーターや量子ジェネレーターを使用していると言うと、感心するかもしれません。これらは印象的に聞こえるかもしれませんが、リスク管理の観点からは、OpenSSL ツールキットのような確立されたオープンソース ジェネレーターを使用する方がよい場合がよくあります。

ナタリア: 暗号化の最大のトレンドは何ですか?

JP:トレンドの 1 つはポスト量子暗号です。これは、量子コンピューターによって侵害されない暗号アルゴリズムの設計に関するものです。私たちはまだ量子コンピューターを持っていません。大きな問題は、いつ登場するのかということです。したがって、ポスト量子暗号は保険と見なすことができます。

その他の 2 つの主要なトレンドは、ゼロ知識証明とマルチパーティ計算です。これらは、分散型アプリケーションをスケーリングする可能性を秘めた高度な手法です。たとえば、ゼロ知識証明を使用すると、短い暗号証明を検証することで、プログラムを再計算することなく、プログラムの出力が正しいことを検証できます。これにより、メモリと計算が少なくて済みます。一方、マルチパーティ計算では、一連のパーティが入力値を知らなくても関数の出力を計算できます。これは、暗号化されたデータに対してプログラムを実行するものと大まかに説明できます。マルチパーティ計算は、機密データを保護し、単一障害点を回避するために、マネージド サービスとクラウド アプリケーションの主要テクノロジとして提案されています。

イノベーションの大きな原動力の 1 つはブロックチェーン スペースであり、ゼロ知識証明とマルチパーティ計算が非常に現実的な問題を解決するために展開されています。たとえば、イーサリアム ブロックチェーンはゼロ知識証明を使用してネットワークのスケーラビリティを向上させ、マルチパーティ計算を使用して暗号通貨ウォレットの制御を分散できます。今後 10 年から 20 年で、コア テクノロジまたはアプリケーションの種類に関係なく、ゼロ知識証明とマルチパーティ計算に多くの進化が見られると思います。

これらの複雑な暗号概念についてすべてのエンジニアをトレーニングすることは困難です。そのため、使いやすく、複雑で高度な操作を安全に実行できるシステムを設計する必要があります。これは、基盤となる暗号アルゴリズムの開発よりもさらに大きな課題になる可能性があります。

ナタリア: 新しい暗号化ソリューションを評価するときのアドバイスは?

JP:あらゆる意思決定プロセスと同様に、信頼できる情報が必要です。情報源は、オンライン マガジン、ブログ、または科学雑誌です。暗号化の専門家に次のことを依頼することをお勧めします。

  1. 問題と必要な解決策を明確に理解します。
  2. 提供されるサードパーティ ソリューションの詳細な評価を実行します。

たとえば、ベンダーが秘密のアルゴリズムを使用していると言った場合、通常は重大な危険信号です。あなたが聞きたいのは、「256ビットのキーとサイドチャネル攻撃から保護された実装を備えた高度な暗号化標準を使用しています」のようなものです.確かに、評価はアルゴリズムではなく、それらがどのように実装されているかに関するものであるべきです。紙の上では最も安全なアルゴリズムを使用できますが、実装が安全でない場合は問題があります。

もっと詳しく知る

Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してくださいセキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

参照: https://www.microsoft.com/en-us/security/blog/2022/01/04/what-you-need-to-know-about-how-cryptography-impacts-your-security-strategy/

Comments

タイトルとURLをコピーしました