暗号技術を使うときに気をつけること
自分が関わったプロダクトで注意したこと。
・独自の暗号アルゴリズムをつくらない
・秘匿情報を通信に載せない
・乱数は偏りがないものを使う
・暗号時に十分にランダムになるようにパディングする
・操作系の通信の場合は上記に加えて必ずワンタイムの暗号キーを使う(リプレイアタック対策)
・危殆化を加味した暗号アルゴリズムと強度を仕様する
・ハードウェアを配布する場合は、耐タンパー性を考慮済みのハードウェアを使う
細かいのはもっとあるけど「暗号」という意味だとこれが最低限。
あとは結局はリスト通りにやるマインドじゃなくて、常に想像力を巡らす。攻撃者は常に想像力を巡らせているので。
そして自分(自社)を信用しない。第三者機関=ホワイトハッカーに攻撃してもらった方がいい。うちでは絶対にしている。
そしてきっとそれだけでは足りない。どこまで行っても足りない。そういう心構えでいる。
この記事が気に入ったらサポートをしてみませんか?