<< 国家予算からの還元金 (連絡事項) | main | また、販売ASPが変わっている・・ >>

スポンサーサイト

  • 2011.12.23 Friday
  • -
  • -
  • -
  • -
  • by スポンサードリンク

一定期間更新がないため広告を表示しています


連載記事( Vol1--「ネット取引のリスク-Part3」)

こんにちは(こんばんは) やむちゃです。

いよいよ、バンクーバーオリンピック開催
が迫ってきました。

2/12〜2/28 17日間の中で、
7競技・86種目が行なわれます。

冬季オリンピックのメダル数は、
長野オリンピックをピークに、
ソルトレイクシティ、トリノと減少しています。

日本のメダル獲得数は、3〜4個位と予想している
海外のメディアもあるようです。

兎に角、選手の皆さんには、精一杯頑張って欲しいです。
私も時間の許す限り、テレビの前で応援したいと思います。

今日は、少し間が空いてしまいましたが、

連載記事( Vol1--「ネット取引のリスク-Part3」)
です。

では、本編です。

連載記事( Vol1--「ネット取引のリスク-Part2」)の記事はこちら
Part2では、SSLの技術により、

「ネット上で流れるデータは暗号化されるので、悪意の第3者に
盗み見られる心配はない」


という所までした。

また、Part1の最後では、

「では、何故、データの改ざんの検知や暗号化が必要なんでしょうか?」

という所で終わっていました。

ですので、そのあたりから話を進めます。

まず、

「データの改ざんの検知」や「暗号化」といった事が
なぜ必要なんでしょうか?


まず、「データの改ざんの検知」。

ネットショッピング行なっているA社サイトに、
"http"で接続する場合です。
http://A社.jp/に接続し、

「10万円のテレビを1台購入」したとします。

ここで、ネットの経路に潜む悪意の第3者(以降では、Bad Guy君とします)が、
この内容を改ざんします。

例えば、

「20万円のテレビ2台購入」と改ざんします。

ここで、A社から購入者に対して、確認メールが送られます。

再び、Bad Guy君が登場し、

「20万円のテレビ2台購入」確認メールを、

「10万円のテレビを1台購入」に書き換えます。

これ、何がおきてるのでしょう?

購入者、A社とも、全くデータが改ざんされた事に気がついていません。

購入者は、「10万円のテレビを1台購入」
A社は、 「20万円のテレビ2台購入」


となっており、表面上は問題なく取引が成立しているように見えます。

この場合、購入者にテレビが2台送られてきた時点で
発覚する事ですが、大きなトラブルの元になりますね。


Bad Guy君は、ちょっとした悪戯だったかもしれませんが、
こういった可能性がある以上、
ネット商取引を行なう上で、非常に大きなリスクとなります。


では、今度は、"https"で接続した場合です。
以下のURLですね。
https://A社.jp/

ここでも同様に、Bad Guy君が内容を改ざんしたとします。

しかし、この場合A社のサーバにデータが届いた時点で、

「改ざんされているデータである」という事が、

瞬時に判明します。

これは、SSLの技術(仕様)として実現されており、
具体的には、ハッシュという仕組みにより、改ざんが検知されます。

「改ざんデータである」事が判明すれば、以降の対応はできますよね。

次に、「暗号化」。

まず、A社のサイトに、"http"で接続する場合です。
以下のURLです。
http://A社.jp/

この場合、
皆さんがお使いのブラウザから、A社サーバに送られるデータは、
生データ(そのままのデータ)がそのまま流れます。

また、ネットの途中の経路で、
このデータを覗いているBad Guy君がいます。

ここで、貴方は、A社のショッピングサイトで、
決済情報に必要なクレジット情報を入力。

このデータをモニタをしているBad Guy君は、
まんまと、貴方のクレジット情報をGETし、悪用しまくり・・

なんて事が起きてしまうかもしれません。

そのために、ネット上の経路に流れるデータを見られても
解読できないように、暗号化が必要となります。


"https"の場合、
すなわち、
https://A社.jp/
で接続する場合は、SSLの仕組みにより、
ネット上に流れる全てのデータは暗号化されので、
Bad Guy君に盗みみられても、内容が解読できないため問題ありません。

個人情報等の重要な情報をネット上に流す場合、
"https"での接続が推奨(必須)となります。


皆さんも、ネット上でクレジット決済をする場合、

「本システムで使用されるクレジットカード入力画面は、
 全てSSL(128bit)で暗号化されています。」


のような記述をご覧になった事があると思います。

SSLについては、連載の中でご説明した通りですが、
"128bit"というのは、暗号の強度を表します。
例えば、

"56bit"
"128bit"


の場合、"128bit"の方が暗号的に強度がある

つまり、

「より解読されにくい暗号」

だという事になります。

暗号というのは、暗号アルゴリズムをベースに成立してますが
必ず、暗号を解読する"鍵"が存在します。
"鍵"が分かっているのは、
上記の場合ですと、貴方と、A社だけという事になります。

"鍵"を知らないBad Guy君は、

"56bit" の場合、 【2の 56乗 個】
"128bit" の場合、 【2の128乗 個】


ある"鍵”の中から、目的の"鍵"を探す必要があります。
どちらが大変か、おわかり頂けると思います。

【2の128乗 個】って、天文学的な数字ですね。

一方で、データ暗号化する行為そのものが、
違う意味でリスクになる場合もあります。

暗号化されたデータというのは、
例えばアルファベットでサンプリングした場合、
A〜Zのデータの出現する回数が平均化するという
傾向があります。

それに対して、生データは、
データの出現する回数がランダムになります。

つまり、ネット上の経路でデータをモニタし、
A〜Zまでのデータの分布を調べていれば、

「暗号化しているデータが流れている」と推測できるわけです。

これが、何を意味すると思いますか?

そもそも、

「何故、暗号化するのか?」

それは、

「他人に知られたくない重要なデータ」

あるいは、

「他人に知られず、秘密に相手に伝えたいデータ」

ですよね。

すなわち、

「暗号化しているデータが流れている」という事がわかれば、

「秘密な情報を相手に伝えている」という事が判断できる事になります。

例えば、テログループが、
ネット上で暗号使い、秘密に情報交換している場合等、
それを監視をする場合に有効な方法の一つという事です。

ちなみに、
テログループも、そんな馬鹿ではないので、
違った方法で、仲間に情報を伝えたりしています。

例えば、ステガノグラフィという技術。
これは、普通の画像データに、文章を埋め込むというものです。

適当な場所に置いてあるサイトに、
秘密の文章を埋め込んだ、適当な画像(例えば、風景の画像のような)
をおいておきます。
風景画像なので、関係者以外が見ても、特に不思議でもなんでもありません。

しかし、
その画像をダウンロードし、
専用のソフトウェアで表示する事により、
埋め込まれた秘密の文章が解読できます。

ちなみに、文章が埋め込まれた画像ファイルは、
市販の画像ビューアで閲覧しても、単に、画像にしか見えません。

これで、仲間に対して、より安全な方法で、
秘密のメッセージを伝える事ができます。

では、最後に、もう一つ、ネットの取引で忘れてはならない

「取引の否認」についてです。

なんか、また、予定より長くなってしまいました。

ですので・・・
はい、その通りです。

「取引の否認」については、Part4で・・・

Part4の記事アップしました

-----------------------------------------------------------
情報商材の事で相談(購入前、購入後)
したい事があれば、なんでも、遠慮なく、ご相談下さい。
サイトバーのプロフィールの欄に、私のメールアドレスが書いてあります。

-----------------------------------------------------------

by やむちゃ

スポンサーサイト

  • 2011.12.23 Friday
  • -
  • 02:33
  • -
  • -
  • -
  • by スポンサードリンク

コメント
コメントする









この記事のトラックバックURL
トラックバック
calendar
      1
2345678
9101112131415
16171819202122
23242526272829
30      
<< September 2018 >>
プロフィール
selected entries
categories
archives
recent comment
recent trackback
search this site.
sponsored links
others
mobile
qrcode
powered
無料ブログ作成サービス JUGEM