新城@筑波大学情報です。こんにちは。

In article <86tzsictp8.fsf@bsd2.4bn.ne.jp>
        Yoshitaka Ikeda <ikeda@4bn.ne.jp> writes:

> オープンソースのソフトウェアだと、自分で追いかければいいわけだけど、
> プロプライエタリなソフトウェアだと、どう検証すればいいんだろうか。基
> 本はソースベースで検証するしかないんだと思うんだけど。

ソースコードがあっても、難しいことがあります。昔、Cコンパイ
ラに手が入っていて、Unix の /bin/login に自動的にバックドア
が作られるという話がありました。ソース・見ても、バックドアの
有無はチェックできません。

> 公的なソフトウェア認証機関とか作れないものかな。「AES Certified」と
> か「Camellia Certified」とか、パッケージにロゴがあったら安心感は増す
> と思うのだけど。

たしかに欲しいですね。ただ、フリー・ソフトウェアだと、ソース
があっても、認証取れない(お金を払う人がいない)という状態に
なるかもしれません。たとえば、Windows のドライバで、認証取る
のに何万円とかかるのは、かなりつらい。

> 一応、アルゴリズムとしては安全なRC4を使ったWEPが解かれたことを考える
> と、製品そのもののセキュリティについて(使われている暗号の名前だけで
> はなく)ユーザーがもうちょっと判断できる材料を客観的に示せるといいか
> な、と思います。

「ユーザ」にもいろいろいるので、暗号のアルゴリズムを言われても困るユー
ザもいます。それを支えるのは、政府なのかもしれないけれど、やれと言われ
てできるかどうか。

> #CRYPTRECとかでやらないかな。

できますかね。

\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報       \\