パスワードクラックに強いファイル暗号

科学・IT

57 Res.　0.20691048 MONA　3 Fav.

1 ：izuna五段：2015/10/12 09:19:38 (9年前)  0MONA/0人

インターネットでファイルを送受信する場合、ファイルを暗号化することはあると思うのだけど、Ask Monaのみなさんは、どんなファイル暗号ソフトを使っているのだろう？

自分の作ったファイル暗号の宣伝になってしまうのだが、フリーソフトだし、話題として面白いと思ってもらえそうだと、思ったので投稿しています。

仮想通貨の採掘技術は、パスワードクラックに応用できる技術です。
フリーソフトの暗号化ソフトではパスワードのハッシュにSHA-1やSHA-256を利用しているものが、多くあります。
ハッシュパワーの大きいマシンで、パスワードクラックをすれば、かなり高速にクラックできることが予想されます。

そういう、ことを良く知っている人たちが、どんなファイル暗号ソフトを使っているのか、ちょっと興味がわきました。

2 ：izuna五段：2015/10/12 13:44:46 (9年前)  0.00000002MONA/1人

誰もファイル暗号ソフトを、挙げて、くれないので、僕から１つ
「アタッシェケース」
古くからあって、ユーザーインタフェースが非常に優れている有名なソフト。窓の杜なども、ファイル暗号ソフトの”鉄板”ソフトだと、評価されているソフト。
古くからあるせいで、設計が古い。パスワードをハッシュすらせずに、そのまま鍵とする方式。
しかし窓の杜は、いまだに推奨というか、話題にしているから、不思議。

3 ：名無し名誉名人教士：2015/10/12 13:48:15 (9年前)  0MONA/0人

…Zip圧縮でもなんでも、素直に長いパスワードでいいんとちゃう？

4 ：izuna五段：2015/10/12 13:58:38 (9年前)  0MONA/0人

>>3

長いパスワードを入力したい？

5 ：izuna五段：2015/10/12 14:16:24 (9年前)  0MONA/0人

DES 56bitは言うまでもなくAES 128bitも、、、ということでAES暗号の256bitが主流になっているけど鍵長256bitを有効にするためには、何文字のパスワードが必要になるだろう？
A～Z、a～z、0-9 で 26+26+10 = 62文字
あと記号2文字を追加して64文字、つまり１文字6bit
256 ÷ 6 = 42.666…文字

これから説明する僕のファイル暗号ソフトは、ICカードの力を借りて256bitを有効にできる。
ICカードのエミュレータも無料で配っているから、フリーソフトということで問題ないと思う。

実際には、パスワードとICカードとの併用を推奨しているから
パスワード8文字 + ICカードのPIN 6文字くらいになると思うけど。

6 ：izuna五段：2015/10/12 14:25:42 (9年前)  0MONA/0人

ビットコインは、SHA-256なんだけどビットコインのASICは、CPUの1000倍オーダーだ。そして、それが施設に数千機？配備されているわけだから

SHA-256を使っている暗号ソフトは、深刻だと思う。

7 ：ｼｮﾎﾞ-ﾝ八段錬士福者：2015/10/12 14:32:49 (9年前)  0.00114114MONA/1人

VeraCryptってやつ使ってるけど...
TrueCrypt改造したやつだけどね
一応パスワードハッシュはSHA-512とか使える

8 ：izuna五段：2015/10/12 15:08:16 (9年前)  0MONA/0人

>>7

VeraCrypt、Wikiを調べた。
これはパスワードクラックを考慮した仕様をもった暗号化ソフトですね。

ICカード使って、綺麗に256bitを、有効化する僕のソフトほどではないけど。

でもVeraは暗号アルゴリズムとしてAES暗号以外にも対応しているから
GPUを使って高速化できる範囲だとは、思うけど、AES専用ハードだけではできないあたりは良好。

ちなみの僕のファイル暗号ソフトToraToraも、AES(改)というAES専用ハードによる解読を、しにくくする工夫がある。

9 ：izuna五段：2015/10/12 15:16:34 (9年前)  0MONA/0人

ちなみにモナコインの新アルゴリズム Lyra2REv2は、Lyra2というパスワードクラックに耐性を持つアルゴリズムを使っている。
英語、あんまり読んでないから、間違っていないことは、保証しないけど、多分、大丈夫だろう。

Lyra2は、ASICだけでなくGPUに対しても、耐性のあるアルゴリズムなんだけど、モナコインの新アルゴリズムLyra2REv2は、GPUでは高速になるように改良した模様。

パスワードクラックに強いLyra2を採用したファイル暗号なんてのも、そのうち出てくるかもね。
ちなみに僕のToraToraは、PBKDF2(SHA-1)を使ってパスワードクラックに対して強化ってほどではないけど、配慮している。

10 ：izuna五段：2015/10/12 15:20:31 (9年前)  0MONA/0人

>>9

補足、ToraToraはICカード使って256bitを完全に有効化するから、Lyra2よりもクラック耐性は、強いのだ。

11 ：izuna五段：2015/10/12 15:23:42 (9年前)  0MONA/0人

>>8

VeraCryptの解説のところで説明が抜けたけど、VeraCryptは
ディスクドライブ仮想化ソフトだから、ファイル暗号とは、カテゴリが、若干違う。

12 ：名無し六段教士：2015/10/12 20:20:32 (9年前)  0.00115505MONA/2人

すごい!

13 ：脇山Ｐ名人教士聖人：2015/10/12 22:30:55 (9年前)  0.1MONA/1人

昔、秘文とか使ってたけども結構便利だった記憶。
高いけど。

個人ではEDくらいでちょうど良かったから
鍵長とかはあんまり気にしてなかったかな。

基本的にこういうソフト操作が面倒だから・・・

14 ：izuna五段：2015/10/12 23:10:57 (9年前)  0MONA/0人

>>13

秘文って日立の暗号ソフトね。
日立製作所には、有能なセキュリティの人材が、いないのかって感じ。(笑)
日本年金機構の情報漏洩事件のときに自己解凍型exeを製品として持っていて批判されてる。

昔、Vectorにオウン・ガードっていう、やっぱり自己解凍型のファイル暗号ソフトが、登録されたときに、Vectorに連絡したのよ。
セキュリティにあまり詳しくない、ソフト屋が、作ったのかと、思ったのだ。これは、セキュリティ的に問題があるから、登録は、控えたほうが、いいかもって。

それが、なんと、日立も日本年金機構の情報漏洩事件のときに、自己解凍型exeを作っていたことが判明、大笑いした。僕が日立にいれば、却下していたと思う。

15 ：izuna五段：2015/10/12 23:31:39 (9年前)  0MONA/0人

>>13

EDも、わりと有名なソフト。
多分、ユーザーインターフェースが、人によっては、結構、便利だったから、かなと思う。
AES256bitなんだけど、パスワードのハッシュにSHA-1を使っているから、実質160bit。SHA-1は、Intelの次世代のCPUで、専用命令が用意されるから、あまり安全じゃない。VIAのx86互換CPUは、かなり昔からSHA-1の専用命令を持っているし。GPUでも高速に計算できる。

16 ：izuna五段：2015/10/12 23:55:30 (9年前)  0MONA/0人

>>14

自己解凍型は、送った相手が、暗号ソフトを持っていない場合に、便利なんだけど、送られたほうは、安全かどうか、わからないexeを実行させられるので、セキュリティ的には、かなり問題。

僕のファイル暗号ソフトにPNaCL ToraToraっていうのが、あるのだけど、これが、この問題を、解決してくれる。
暗号化されたファイルは、やっぱりPNaCL ToraToraで復号化するのだけど、ほぼ完全なサンドボックスの中で、動作するから、万が一、PNaCL ToraToraにウィルスがいたとして暴れても、何もできないのです。
http://idletime.s601.xrea.com/web/toratora/

17 ：名無し百五十五段：2015/10/13 00:06:00 (9年前)  0.00004971MONA/1人

自分で作ったソフトで暗号化してる。
難読性は検証がめんどいから数学的に安全な素因数分解困難性を使って使用してる。

18 ：izuna五段：2015/10/13 00:11:59 (9年前)  0MONA/0人

>>14

一応、知らない人も、いるかもしれないので、補足します。
私、実は、1994年～2005年まで日立製作所で、働いていました。
なので、>>14 のような、ものいい、になってしまったのです。

19 ：izuna五段：2015/10/13 01:37:35 (9年前)  0MONA/0人

>>17

以下は、名無し百五十五段、さんだけ、読んでね。

ショアのアルゴリズムってのを調べてみよう。

みんなには、ナイショだよ、また空気読んでないとか、言い出す人が出てくるといけないから(笑)
暗号通貨は、アルゴリズムの差し替えで対応できるって聞いてるけど、ちょっと本当か、どうかは、確認してない。

20 ：‌‌七段教士：2015/10/13 01:55:43 (9年前)  0MONA/0人

>>19
そう言うのは直接メッセージでどうぞ。

21 ：名無し六段教士：2015/10/13 03:19:09 (9年前)  0MONA/0人

わたし、わからない、あんごう、かち、りかい、できない
あしたに、なれば、りかい、できるかな？

22 ：XM24箱四段：2015/10/13 05:03:33 (9年前)  0MONA/0人

パスワードの価値は、パスワードをかけた平文と同じ価値を持つ、
って本に書いてありました。

個人的にはブロックチェーンをうまく使えば
「ブロックチェーンに乗せたら改ざんされない」事に
価値を見い出せそうだと思っています

書き換えを阻止する、のもパスワードの大事な役目で、
平文で書いた金額を1桁書き換えられたりしたらとんでもないことになる。

23 ：名無しMONAさん：2015/10/13 05:03:45 (9年前)  0MONA/0人

RoboFormのログイン帳やメモ帳のバックアップをクラウドストレージにアップロードする前に
セキュリティ・ウェアハウス-portableでもう一度ファイル暗号しています。

ただ調べてみたらRoboFormもセキュリティ・ウェアハウスもハッシュにSHA-256を
使っているみたいなので少し心配になってきました。

例えばNiceHashで6000TH/sの演算能力をレンタルしたとして、SHA-256でハッシュ化された英(大小)数字、記号
を組み合わせた30文字のパスワードはどれ位の時間で破られてしまうものなのでしょうか？

またRoboFormは暗号化アルゴリズムにAESの他にBlowfishやRC6が選べるのですが、
あえてAES以外の上記暗号化アルゴリズムに変更することに意味はあるのでしょうか？

24 ：名無し百五十五段：2015/10/13 05:51:16 (9年前)  0MONA/0人

>>19
量子計算まで考慮にいれたらなんもできんよ。量子コンピュータができたら量子暗号を使えばいいだけのこと。
一応かなりの計算時間を使ってRSA暗号より巨大な素数群を使ってるから、突破されるのはRSA暗号のほうが先だろうな。

25 ：名無し四段：2015/10/13 09:11:46 (9年前)  0MONA/0人

bitcoinのASICは全部がってわけではないかもしれないけど、
暗号やぶりに使えないように通常のSHA256()じゃなくて
Bitcoinで使われているSHA256(SHA256())専用になってるってどっかで見た気がする

26 ：名無し四段：2015/10/13 09:16:13 (9年前)  0MONA/0人

＞ランポート署名は量子コンピュータが実現してもなお安全性を保つことができると言われているが、
＞ひとつの鍵は一つのメッセージの署名にしか使用できないという制約がある。

https://en.wikipedia.org/wiki/Lamport_signature

27 ：名無し四段：2015/10/13 09:20:03 (9年前)  0MONA/0人

Feistel構造を使えばどんなハッシュ関数からも
暗号化複合化ができるブロック暗号アルゴリズムが作れるの？

28 ：izuna五段：2015/10/13 09:53:32 (9年前)  0MONA/0人

>>25

確かに一般向けにはSHA256(SHA256())専用かもしれない。
しかし、SHA256()を計算できる隠し命令が、存在していない保証はない。
SHA256()を計算できる隠し命令を実装して、国防省とか、犯罪組織とかから、お金をもらっているかもしれない。

事実、僕が日立製作所にいたときに開発した暗号LSIは、IBM互換機なんだけど、IBMの仕様にないクラック用の機能を追加実装している。
連続ECBモードなんだけど、IBMの仕様には、なかった機能。

余談ですが、僕が高速なSHA-1を開発製品化した1999年よりも、今は、もっと進化しているみたいで、昨年、SHA-256を1hash/cycの発表があったみたいです。完全にパイプライン化したのか、、、

29 ：名無し四段：2015/10/13 10:09:45 (9年前)  0.00114114MONA/1人

ところでファイル暗号化ソフトは オンラインストレージにアップロードするときに使ったのはGnuPGでした

たしかAESを使った気がする

30 ：名無し四段：2015/10/13 10:13:10 (9年前)  0MONA/0人

BitcoinのASICのSHA256は効率を高めるためにnonceのビット列をインクリメントしていく仕様になってそうだけど、
その機能だけだとファイル暗号化で使ってるような単語の組み合わせとかをいろいろなパターン試すようなことはできない気がする

31 ：izuna五段：2015/10/13 10:36:29 (9年前)  0MONA/0人

>>23

30文字ってパスワードは、かなり長くて、実運用では、厳しそうという感想。
AESは、いろいろなところで使わている結果、高速な専用ハードも多数存在しているから、AESのみだと、クラックされやすい。
Intel CPUにAES-NI命令というAES専用命令がある。

RC6は、AESの専攻に残ったアルゴリズムだから、わからないけど、Blowfishは、古い暗号アルゴリズムで、これがしっかりしているならAES暗号は、できなかったことを考えるなら、Blowfishは、やめたほうがいいかも。
鍵長を長くすることで、暗号強度は、あがるみたいだけど、結局、パスワードの複雑さによる実質鍵長？は、長くできないから。

VeraCryptでAES暗号以外が使えることを、評価したのは、組み合わせの多段暗号化ができるからだったのだ。

32 ：izuna五段：2015/10/13 10:45:12 (9年前)  0MONA/0人

>>30

単語の組み合わせなどのパターンは、CPU側で作成して、SHA-256の演算器に、流し込むだけだから簡単にクラックできる機能が作れる。

33 ：名無し百五十五段：2015/10/13 10:52:15 (9年前)  0MONA/0人

たしかにBlowfishはやめたほうがいい。早いしそこそこ使えるけどどうしても使いたいならTwofishのほうがいい。
とかいっときながら遊びで使ってるのはBlowfishだったりするがwだってはやいんですもん・・・w

34 ：izuna五段：2015/10/13 11:09:08 (9年前)  0MONA/0人

コーヒーブレイク　(ちょっと休憩的な話)

SHA-256が、昨年、1cyc/hashになったって話を、さっきWebで見つけたんだけど、必要なのは、ゲート当たりの性能だから、かなずしも、パイプライン化による性能向上が、いいとは、限らないかなって思った。

RSA暗号の高速化で、良く使われるモンゴメリ乗算も、パイプライン化されたって研究発表があって、ちょっと見てみたことがあるけど、アルゴリズム的には、美しいから、研究発表としては、いいけど、実用性は、どうかなって思ったことがあったよ。

SHA-256のパイプライン化が、実際どうなのかっては、全然、調べてないから、わからないけど。

35 ：名無し四段：2015/10/13 11:17:14 (9年前)  0MONA/0人

SHA256をパイプライン化するのには32ビット加算器が何個必要なんだろう・・・

36 ：izuna五段：2015/10/13 11:36:31 (9年前)  0MONA/0人

>>29

スレの趣旨にあった投稿だったのでGnuPGを、ちょっと調べました。
GnuPGは、世界的に有名なんだけど、署名とか公開鍵暗号方面で有名な、ソフトで、ブロック暗号は、できても、オマケなのかもしれない。

パスワードのハッシュをどうしているのかについての、記述を、見つけることができない。

VeraCryptだと、詳しく、書いてあってわかりやすかったのだけど。

用心するなら、パスワードのハッシュをどうしているのか、確認してから、使うのがいいと思う。

37 ：名無し六段教士：2015/10/13 14:45:15 (9年前)  0MONA/0人

早稲田アカデミーと早稲田って関係あるの？

38 ：izuna五段：2015/10/13 16:54:54 (9年前)  0MONA/0人

もう登場しているけど、パスワードクラックに強いファイル暗号ToraToraについて

AES暗号は鍵長が256bitあっても、パスワードを長くしなければ、256bitの強度を得られないのだけど、ファイル暗号ToraToraは、ICカードを使って256bitの強度がでるようにしています。そしてICカードを持っていなくてもUSBメモリをICカードにエミュレーションするソフトもあり、どちらもフリーソフトとして無料で利用できます。

●ファイル暗号ソフト ToraTora
http://www.icanal.tk/toratora/index.html

●UBSメモリをICカードにエミュレーション myuToken
http://www.icanal.tk/myutoken/index.html

マイニングASICやGPUの進歩で、パスワードクラックの問題が大きくなっています。
よろしかったら、是非とも、使ってください。

39 ：名無し六段教士：2015/10/13 22:43:17 (9年前)  0.1MONA/1人

>>38
汝、試される　我、望む

40 ：izuna五段：2015/10/14 11:40:59 (9年前)  0MONA/0人

ICカードエミュレータじゃなくて本物のICカードも使えるよ。
Monappyさんで22MONAで販売している。

これはRSA1024bitだけど、他のメーカーのICカードも使えるから。

ICカードエミュレータでも、暗号化されたファイルの暗号強度は、変わらないのだけどパソコンにウィルスが侵入しても、ICカードの秘密鍵は、抜き取ることができない分、安全。
もちろん、ICカードエミュレータでも、秘密鍵を抜き取るのは、難しくなっているけど。

41 ：名無し六段教士：2015/10/14 18:22:17 (9年前)  0MONA/0人

>>40ようわからんけどそこにモナコイン入れられる？

42 ：名無し六段教士：2015/10/14 18:28:08 (9年前)  0.00114114MONA/1人

age

43 ：izuna五段：2015/10/14 18:38:58 (9年前)  0MONA/0人

>>41

いい質問だねぇ (←おまえは偉い先生か)

このICカードはRSA 1024bitだから、入らないけど、モナコインのウォレットの秘密鍵は、ICカードに入れたほうが、より安全。
ちょっと勉強不足で申訳ないだけどモナコインのウォレットの秘密鍵がRSA 2048bitなら、市販のICカードに対応させたほうが、いい。

市販のICカードを買うお金がなくて、開発できないっていう場合は
僕が、ICカードの標準API BaseCSPやCNG/KSPのシミュレータを無料公開しているから、ICカードを買わなくても、開発可能。

●ICカードシミュレータ SiMyuCard
http://www.icanal.tk/SiMyuCard/index.html
これで開発すれば、他の市販のICカードでも動作するよ。

44 ：izuna五段：2015/10/14 19:11:02 (9年前)  0MONA/0人

>>43
英語版もあるから、海外のお友達と開発することも、できるよ。
ただし説明書は日本語しかない。
このシミュレータは >> 38 のmyuTokenといっしょに使う。
myuTokenも英語版があって説明書は日本語のみ。

======================================
このソフトは日本よりも海外のほうが有名
======================================

Softpediaというわりと、有名なサイトでレビューされてる。
http://www.softpedia.com/get/Security/Security-Related/myuToken.shtml

45 ：名無し六段教士：2015/10/14 20:14:02 (9年前)  0MONA/0人

>>44
職場で早稲田（笑）とか呼ばれてませんでした？
技術をパッケージ商品として売り込みたいなら、
それ相応のマーケティング戦略を考えてみたらどうですか？

46 ：izuna五段：2015/10/14 20:18:14 (9年前)  0MONA/0人

>>45

タダだから

47 ：名無し六段教士：2015/10/14 21:02:12 (9年前)  0MONA/0人

>>45
https://kotobank.jp/word/売り込む・売込む-212298
だから理系は嫌なんだよな。

48 ：名無し六段教士：2015/10/14 21:04:04 (9年前)  0.00114114MONA/1人

アゲアゲうぇ～い☆!

49 ：みそにこみ十段錬士：2015/10/14 22:13:33 (9年前)  0MONA/0人

>>47 “理系”で括らないで欲しい。
理系&自信家&商売熱心&視野狭窄&余裕なし⇒(>>38)ということだと思います。
ここaskmonaは暗号のアルゴリズムに興味のある人達が多いでしょうから、宣伝先として有望だと考えているのでしょうね。
好きにさせておけば良いと思います。　　　sage

50 ：izuna五段：2015/10/15 00:01:52 (9年前)  0MONA/0人

myuTokenをSoftpediaに掲載してくれってお願いしたわけじゃないのよ。
日本語の説明書しかないソフトを推薦したところでレビューしてくれると思わないでしょ。

Softpediaでレビューを書いてくれた人が何人か、知らないけど、ルーマニア人の可能性はあるかな。

ルーマニア人（仮)が日本語の説明書を読んで、日本語の説明書しかないソフトをSoftpediaでレビューしようと、思える、くらい、価値がある、ソフトなんだって気が付いてくれると、うれしい。

そういうソフトを、使わないと日本は、損をするかもって、思うよ。

51 ：名無し六段教士：2015/10/15 00:21:56 (9年前)  0MONA/0人

you損するから買っちゃいなyo☆彡

52 ：(´ー｀)二段：2015/10/15 01:35:17 (9年前)  0MONA/0人

商売ってのは(´ー｀)難しいねえ

53 ：izuna五段：2015/10/15 01:47:44 (9年前)  0MONA/0人

>>52

いや、だからタダだって。
>>40 で画像をはりつけたICカード以外は、全部、タダ。
どんどん使って！

54 ：izuna五段：2015/10/15 01:53:24 (9年前)  0MONA/0人

>>53

ICカードも買う必要なくってICカードエミュレータを使って
タダで、本物のICカードと同等の暗号強度が出るの。

結局、全部タダだから。

myuTokenは、一部、独立行政法人IPAの未踏ソフトの支援を受けていて、少し税金をもらったのだ。

55 ：みそにこみ十段錬士：2015/10/17 13:38:48 (9年前)  0.00114114MONA/1人

>>52→>>53→>>54という流れで“無料”ということをしきりに強調されていますねえ。

http://www.icanal.tk/sitemap.html#topというURLをみると、(株)iCanalですから、いちう営利追求のようです（営利追求が悪いことだとは言っていませんよ。）　ICカード(http://www.icanal.tk/myuCard.html)は販売終了のようですが、>>54からICカードを買う必要もないみたいです。
結局、何で儲けようとしているのでしょうか？？？　　（http://askmona.org/3868?n=1000#res_13)というなことを書かれているし、一般論として、最初に無料で配って宣伝するのもあります。
だから、自分は>>49と書きました。

56 ：みそにこみ十段錬士：2016/04/01 20:29:28 (8年前)  0MONA/0人

age　（　ちょっと　いたずら　）

57 ：新疆改造中心 六四事件二段：2018/02/08 18:26:26 (6年前)  0MONA/0人

Rijndael
https://ja.wikipedia.org/wiki/Advanced_Encryption_Standard

本サイトはAsk Mona 3.0に移行しましたが、登録すると昔のAsk Monaで遊ぶことができます。