【疑問質問】 暗号化していないと何が危険なのか(平文について)
2012/11/14
インターネットで安全に情報をやりとりする為にSSL証明書が必要とはいうものの、どういう危険があるの?
といった疑問について考えてみます。
そこでまずSSL証明書の役割についてざっくり説明してみます。
以前コラムで書いたかもしれませんが、SSL証明書には大きく3つ役割があります。
・通信を暗号化する。
・通信相手が想定しているドメイン、企業なのかを保証する。
・その企業が信頼に足る企業なのかを保証する。
今回は「通信を暗号化する」についての話です。
SSLで暗号化と言うとよく分からないですが、
データを暗号化と言うと、何となく想像つきますよね?
暗号化されていないデータは、ファイルを開けば見れます。
ではファイルにパスワードをかけていたらどうでしょうか。
パスワードが無いとファイルが見れないので、暗号化と同じと思われがちですが、ちょっと違います。
語弊を恐れず思い切った表現をしますと、パスワードは暗号化よりとても簡単に破られるのです。
暗号化するとより安全、という事です。
インターネットでの暗号化の話に戻ります。
データのパスワードや暗号化を破るには、データのあるPC等を操作する必要があります。
暗号化されていようと、されていまいと、データはそこにしか無いからです。
インターネットの場合はデータを誰かと(サーバ等)とやりとりをしています。
Webサイトのサーバまでどんな経路で、どんな処理がされて届くのか、普通は分かりません。
そのよく分からない通信経路上のサーバやネットワーク機器に、
悪意のある人がアクセスできたとしたら、データは筒抜けとなります。
ではパスワード認証していればよいかというと、
インターネット上の場合はパスワードもデータとして通信されますので、筒抜けです。
先ほどのデータにパスワードをかける場合よりセキュリティは弱い、と思って下さい。
身近な人にはパスワードさえ教えなければそうそうデータは漏れませんが、
身近でない人には筒抜けになっている可能性がある。これが暗号化していない危険性です。
暗号化の反対は「平文」と呼ばれます。
機密情報や個人情報のやりとりには平文は危険ですよ。という話でした。