yas@is.tsukuba.ac.jp (Yasushi Shinjo) writes:

> 新城@筑波大学情報です。こんにちは。
>
> In article <86tzsictp8.fsf@bsd2.4bn.ne.jp>
>    Yoshitaka Ikeda <ikeda@4bn.ne.jp> writes:
>
>> オープンソースのソフトウェアだと、自分で追いかければいいわけだけど、
>> プロプライエタリなソフトウェアだと、どう検証すればいいんだろうか。基
>> 本はソースベースで検証するしかないんだと思うんだけど。
>
> ソースコードがあっても、難しいことがあります。昔、Cコンパイ
> ラに手が入っていて、Unix の /bin/login に自動的にバックドア
> が作られるという話がありました。ソース・見ても、バックドアの
> 有無はチェックできません。

ああ、このレベルまでいっちゃうとこまりますね。
コンパイラの真正性についても検証する必要があるってのは考えておく必要が
ありますね。

ただ、暗号の場合、鍵と入力が一致すれば別に作成されたコードでも
同じ出力が得られるので、入出力フォーマットとか鍵のフォーマットさえ
わかっちゃえば何とかなりそうな気もしなくはないです。
二つ以上のコンパイラで出力を比較するとか。

>> 公的なソフトウェア認証機関とか作れないものかな。「AES Certified」と
>> か「Camellia Certified」とか、パッケージにロゴがあったら安心感は増す
>> と思うのだけど。
>
> たしかに欲しいですね。ただ、フリー・ソフトウェアだと、ソース
> があっても、認証取れない(お金を払う人がいない)という状態に
> なるかもしれません。たとえば、Windows のドライバで、認証取る
> のに何万円とかかるのは、かなりつらい。

難しいところですねぇ。当然マンパワーが必要なので、タダというわけには
いかないんでしょうが。フリー・ソフトウェアのように、フリー・サーティフィケイト
ができればよいのでしょうが。

>> 一応、アルゴリズムとしては安全なRC4を使ったWEPが解かれたことを考える
>> と、製品そのもののセキュリティについて(使われている暗号の名前だけで
>> はなく)ユーザーがもうちょっと判断できる材料を客観的に示せるといいか
>> な、と思います。
>
> 「ユーザ」にもいろいろいるので、暗号のアルゴリズムを言われても困るユー
> ザもいます。それを支えるのは、政府なのかもしれないけれど、やれと言われ
> てできるかどうか。

いま、考えてるユーザというのは、企業とか官公庁とかでソフトウェアの導入を
検討している担当者、のレベルを考えてます。企業のセキュリティクライテリアに
合致したソフトウェアか否かを判定する必要があるのでは、と思ってます。

CRYPTRECは、「**というアルゴリズムなら安心だ」という指標を出しました。
で、ソフトを導入する際に「**というアルゴリズムが入ってる(とされている)
ソフトウェアだから安心だ」というと、やっぱり、本当に入ってるのかは
問題になっちゃうんじゃないかなぁ。

>> #CRYPTRECとかでやらないかな。
>
> できますかね。

どうでしょうねぇ。一部の製品のみを推奨しちゃうことになると、中立性を
損ねるからなかなか難しいかな。

師匠が、CRYPTRECの偉い人なので、今度聞いてみようと思います。
来週の土曜日に会う予定だったり。
-- 
I LOVE SNOOPY!  でつ
Yoshitaka Ikeda mailto:ikeda@4bn.ne.jp
My Honeypot: honey@4bn.ne.jp  <-don't send this address