ブログにも書いたんだけど、こちらで問題提起しておこう。



世の中に、多くのセキュリティ向けソフトウェアがあって、それの基幹技術として暗号が使われています。
で、まあ「**」を使ってる、とか書いてあるわけですが、

・本当に、そのアルゴリズムを使っているのか
・暗号利用モード(ブロック暗号の場合)とか、パディング(公開鍵暗号とか)はどうなっているのか
・バックドアはないのか
・乱数をもとにセッション鍵等を作るものの場合、その乱数はどこから取ってるのか

オープンソースのソフトウェアだと、自分で追いかければいいわけだけど、プロプライエタリなソフトウェアだと、どう検証すればいいんだろうか。基本はソースベースで検証するしかないんだと思うんだけど。

公的なソフトウェア認証機関とか作れないものかな。
「AES Certified」とか「Camellia Certified」とか、パッケージにロゴがあったら安心感は増すと思うのだけど。


一応、アルゴリズムとしては安全なRC4を使ったWEPが解かれたことを考えると、製品そのもののセキュリティについて(使われている暗号の名前だけではなく)ユーザーがもうちょっと判断できる材料を客観的に示せるといいかな、と思います。

#CRYPTRECとかでやらないかな。

-- 
-- 
I LOVE SNOOPY!  でつ
Yoshitaka Ikeda mailto:ikeda@4bn.ne.jp
My Honeypot: honey@4bn.ne.jp  <-don't send this address