この記事は機械翻訳されました。
暗号化技術は、移動中のデータを保護します。ハッシュ化は、保存中のデータを保護します。
これらの戦略を組み合わせることで、理論的には、重要な資産の周りに強力なセキュリティ境界を構築できます。しかし、どちらにも知っておくべきリスクと利点があります。
暗号化とハッシュ化:簡単な定義
今すぐあなたのサーバー上にあるすべての機密情報を集計します。顧客、クライアント、および契約先との間でやり取りするすべてのデータを追加します。どのようにしてすべてを安全に保ちますか?
暗号化とハッシュ化という用語を同じ意味で使用する人がいます。どちらも情報を保護するために使用されるのは事実ですが、その方法は大きく異なります。
次の基本的な定義について検討してください。
- Encryption とは、鍵を使って解読できるデータをスクランブルすることです。その目的は、情報を別の当事者に渡し、受信者が鍵を使用してデータを解読することです。
- ハッシュ化もデータをスクランブルしますが、その意図はデータの真正性を証明することです。管理者は、ハッシュ化されたデータに対してチェックを実行し、保管中にコンテンツが変更または改ざんされていないかを確認できます。解読キーは存在しません。
どちらの方法も、詮索好きな目から何か機密性の高いものを保護することを含みます。しかし、明らかに、それらは異なる目標とコア機能を持っています。
暗号化はどのように機能しますか?
暗号化とは、重要な情報を一時的にスクランブルすることです。受信者は判読不能なデータを受け取りますが、転写キーによって混乱が解消されます。それらを組み合わせると、メッセージの意味が明確になります。
企業の約40%が企業全体の暗号化戦略を運用しており、その数は年々増加しています。この対策は、主に個人情報を扱うビジネスセクターにおいて特に重要です。
- 病院
- 銀行
- 信用組合
- 保険会社
パスワードの暗号化は非常に普及しています。ほとんどの消費者は、入力したログイン情報が入力するとすぐに保護されると思っています。
暗号化が広く受け入れられているのは、部分的には、これらの技術が何十万年も前から存在しているためです。たとえば、古代エジプトでは、書記は象形文字で重要な情報を保存し、翻訳コードを知っている人だけが、各フレーズが実際に何を言っているのかを判断できました。
暗号化の核心は、驚くほどシンプルです。情報は判読不能な状態で一方の当事者から他方の当事者へ移動し、到着時に解読されます。
エンドユーザーは通常、暗号化キーを探す必要はありませんが、データは行き来する必要があります。通常、ユーザーのシステムは相手側にクエリを送信します。それに応じて、相手側はデコードキーを含むセキュリティ証明書のコピーを返送します。
一般的な暗号化技術
暗号化とは、データを何らかのキーがないと読み取れない方法に変換することです。
過去には、人々は次のような方法でメッセージをスクランブルする単純な手法を使用していました。
- Shifting.コード作成者は数を選択し、それに応じてアルファベットのすべての文字をシフトします。メッセージをデコードするには、受信者は値を元に戻します。
- 代替。別のアルファベットが作成され、メッセージはそれらのルールに従ってスクランブルされます。受信者はコードを使用して、メッセージを判読可能な状態に変換します。
- 記号。通常の読みやすいアルファベットが数字または記号に置き換えられます。受信者はコードを使用して、受信時にテキストを変換します。
これらの方法は粗雑で、非常に簡単に破られます。スクランブルの基礎となるルールを特定するとすぐに、メモを読むことができます。最新の技術は異なります。
暗号化されたドキュメントを翻訳するために使用されるコードは暗号と呼ばれ、主に2つのタイプが存在します。
- 対称暗号は、送信者と受信者の両方が持つ1つのキー変数を使用します。この暗号は、単語、数字、または両方の組み合わせである可能性があります。この1つのキーを持っている人は、データをスクランブルしたり、この隠された状態で送信されたデータをデコードしたりできます。
- 非対称暗号は、2つのキー変数を使用します。1つは、この暗号を使用するすべての人が知っていて理解している公開キーです。もう1つは、通常インターネットまたは大規模なネットワークを介して交換される秘密キーです。それらを組み合わせると、ハッキングがはるかに困難になります。
共通鍵暗号を使用すると、復号プロセスが非常に迅速に進みます。非対称暗号は処理に時間がかかり、ユーザーは遅延を経験することがあります。
最新の暗号化製品には以下が含まれます。
- Advanced Encryption Standard (AES)。高度なアルゴリズムが平文を一連の文字と数字に変換し、完全な暗号化を保証するためにそのプロセスが何度も繰り返されます。
- Twofishこの対称暗号は、暗号化と復号化の両方に単一の鍵を使用します。開発者は、より安全な暗号化タイプを求める米国国立標準技術研究所からの要請に応えて、1998年にシステムを構築しました。Twofishは高速なシステムであり、頻繁に鍵を変更する必要があるネットワークアプリケーション向けに作られています。
- Pretty Good Privacy。このソフトウェアはオープンスタンダードに基づいており、データを暗号化および復号化するためにいくつかの手順を使用します。開発者は、攻撃に対応してアルゴリズムに新機能を追加するなど、システムの改良を継続しています。
これは、利用可能なすべての暗号化製品のサンプルです。これ以外にも多くの原因が存在します。実際、一部の進取的な開発者は、社内システムの特定の脆弱性に対処するために、独自のツールを構築しています。
ハッシュの仕組み
ハッシュ化とは、保存中のデータをスクランブルして、盗難や改ざんを防ぐことです。保護が目標ですが、この手法は復号化を念頭に置いて構築されていません。
多数のユーザー名とパスワードがファイルにある会社を考えてみましょう。顧客は多くの場合、複数のログインに同じパスワードを使用するため、データが漏洩すると、複数のプライバシーに関する懸念が生じる可能性があります。パスワードハッシュシステムは、ハッカーからすべてのパスワードを保護すると同時に、それらのポイントが再利用される前に改ざんされないようにすることができます。
このようなハッシュ暗号化はデータを匿名化しませんが、多くの人はそう信じています。代わりに、このデータを悪用または改ざんする可能性のある人物から保護するために使用されます。
一般的なハッシュプロトコルには、自動翻訳キーは付属していません。代わりに、このプロセスは改ざんを特定するために使用され、データはスクランブルされた状態で保存されます。
ハッシュ化はコンピューターアルゴリズムによって行われ、データが変換されると、元の状態に戻すことはできません。
一般的なハッシュアルゴリズム
すべてのハッシュアルゴリズムは同様の方法で機能します。ユーザーは機密データを入力し、システムはそれを処理して、その情報を不適格にします。しかし、すべてのシステムが平等に構築されているわけではありません。
ハッシュアルゴリズムには以下が含まれます。
- MD-5:MD5はシンプルで高速、そして無料で使用できます。これは利用可能な最も広く使用されているハッシュアルゴリズムの1つですが、ハッキングにも弱いです。一部の専門家は、すべての企業にデータを保護するための別の方法を選択することを推奨していますが、主要なコンテンツシステムの約4分の1は依然としてMD5を使用し続けています。
- セキュアハッシュアルゴリズム(SHA)。米国国立標準技術研究所は、1993年に最初のSHAアルゴリズムを公開しました。新しいリリースごとに、SHA-0やSHA-1などの番号が付けられます。一般に、数値が大きいほど、アルゴリズムの安全性は高くなります。
- Tiger。このアルゴリズムは1995年に公開されたもので、64ビットプラットフォームでの使用を目的としています。これは24ラウンドでデータをランダム化し、非常に安全であると考えられています。
一部の企業では、ソルトと呼ばれる手法を用いて、ハッシュをさらに強化しています。これを行っている企業:
- 何か追加してください。これには、保護する必要のあるデータに、ユニークでランダムな文字列を追加することが含まれます。
- 文字列全体をハッシュ化します。ソルトが追加された元のデータは、アルゴリズムを通過します。
- 安全に保管してください。企業は、ハッシュ化されたデータとともに、ソルト値をサイトに配置します。
- Repeat.企業は、より深い保護を提供するために、データを複数回ソルトすることができます。
専門家によると、企業がデータポイントごとに異なるソルト文字列を使用する場合、ソルトは最も効果的です。たとえば、各パスワードに同じランダムな文字セットが添付されている場合、パスワードソルトはそれほど役に立ちません。ハッカーがそのコードを解読するとすぐに、すべてのパスワードが脆弱になります。
比較と対照:暗号化対ハッシュ
ハッシュと暗号化はどちらも、データをスクランブルしてハッカーから保護します。ただし、データのスクランブル方法と、エンコード後のデータの扱いは異なります。
暗号化 | ハッシュ化 | |
目標 | 輸送中の保護 | 保存中の保護 |
利用可能なデコード? | はい | いいえ |
データは匿名化されていますか? | いいえ | いいえ |
キーの種類 | パブリックとプライベート | プライベート |
パスワードに使用されますか? | はい、転送中です。 | はい、保管中も |
セキュリティが目標の場合、どのシステムがより適切に機能しますか?残念ながら、どちらも深刻な脆弱性を抱えています。
パスワードハッシュの問題は、ハッカーがコードを突破して大量のユーザーデータを公開した2019年のPoshmarkで明らかになりました。Poshmarkの幹部は、デジタルライフ全体でパスワードを変更する必要があると消費者に伝えました。特に、あるサイトから別のサイトへパスワードを再利用している場合は注意が必要です。
ハッシュを破るということは、コンピューターアルゴリズムをコードで実行し、キーに関する理論を開発することを意味します。不可能であるはずですが、専門家によると、一部のプログラムは1秒あたり4,500億のハッシュを処理できるため、ハッキングにはほんの数分しかかかりません。
暗号化には脆弱性も伴います。データの使用が不可能になるセキュアな暗号化違反は、わずか約4%です。他のすべてのケースでは、盗まれたファイルはすぐに解読され、泥棒が使用できるようになります。
一部の企業は、コンプライアンスのためだけに暗号化を適用している可能性があるため、システムが機能することを証明するためにテストおよび変更を行っていません。しかし、暗号化が一部の人が期待するほど洗練されていない可能性もあります。
どちらを選ぶべきですか?
暗号化とハッシュのどちらが良いかという質問に答えるのは簡単ではありません。保護が目標ですが、どこから始めればよいかを知るのは難しい場合があります。
保護する必要があるデータを検討してください。それは次のようになりますか?
- 旅行?サーバーから別のサーバーに移動する際に安全性を保つためには、暗号化が必要になるでしょう。
- ストレージに保存したままにしますか?サーバーに不正な目的で侵入した人物による改ざんを防ぐために、ハッシュ化が必要です。
ハッシュと暗号化の手法も組み合わせることができることを知っておいてください。サーバー上のパスワードデータを保護するためにハッシュを使用するかもしれませんが、ユーザーがアクセス権を取得した後にダウンロードするファイルを保護するために暗号化を利用します。
データを安全に保つシステムと方法を試してください。Oktaがお手伝いします。
当社は、大企業と中小企業の両方に対応するセキュリティソリューションを専門としています。当社のソリューションをすぐに展開することも、お客様とその業界に適したものを構築することもできます。詳しくはお問い合わせください。
参考文献
暗号化:ますます多くの企業が、厄介な技術的頭痛にもかかわらず、それを使用しています。(2015年4月)ZD Net.
暗号化の歴史(2002年1月)。Global Information Assurance Certification。
The Twofish Encryption Algorithm。(1998年12月、Schneider on Security。
ハッシュはデータを匿名化しますか?(2012年4月、連邦取引委員会
主要なCMSの4分の1が、デフォルトのパスワードハッシュ方式として古いMD5を使用しています。(2019年6月)。ZD Net.
パスワードとハッキング:ハッシュ、ソルト、SHA-2の専門用語を解説。(2016年12月)。The Guardian。
Password Hashing Does Not Guarantee That Your Data Is Secure.(2019年10月、Kansas City Business Journal.
Four Cents to Deanonymize: Companies Reverse Hashed Email Addresses。(2018年4月、Tinkerする自由。
企業は暗号化技術の効果的な適用に失敗します。(2019年1月、Computer Weekly)
Encryption vs. Hashing(2019 年12月)Medium)
多くの企業が間違った理由で暗号化を適用している。(2020年4月)Techzine.
