パスフレーズの方が忘れないだろう

　牛尾は、電子データ保存の計画の文書をまとめていた。Officeソフトの文書ツールで作成している。このOfficeソフトは、比較的強度のあがった暗号化であるAES128にも対応している。社内でシェアする分には十分な強度だろう。ただ、パスワードロックをかけると、あとで何度もなんども「パスワードなんだっけ」と聞いてくるお偉いさんも多かったりする。メンドくさい。

　どうしようか、と思ったが、この際、パスフレーズを使うことにした。

　パスフレーズ、本当に意味のあるセンテンスをそのまま使うわけだが、そのため、長くなる分、強度が上がる代わりに、覚えやすい意味のあるセンテンスになるので、その分リスクは逆に高まるとも言える。諸刃の剣。

　まずは、やって見てから考えよう。

　作成した文書を、パスフレーズで暗号化を実施した。パスフレーズを決めなければならないが、帰ってこっちの方がめんどくさいかな、と思いながらも、フィアル名と同じ

　1st drafted plan.

　とした。スペースとピリオドを忘れないで、という注意とともに送りつけて見た。

　しばらくたっても、誰からも何の反応もない。特に問題なく受け入れられたのかな、と思い、安心していたが、とんでもないことだった。「誰も開いていない」ということが判明したのだ。

　どうしても読んで欲しい人のところには、文書を印刷して、手渡ししてきた。一回りして戻ってきた。ふぅ、とため息。東山が

「どうしました？ため息なんかついちゃって」

　と聞いてくる。牛尾はもう一つため息をついて

「パスフレーズでファイルロックしたら、だれも開こうとしないんだぜ。パスワードと何も変わらないってのにさ」

「はぁ、そうなんですか。まぁ、見たことない言葉があって、なんだかわからなかった、というだけの話だと思うんですけどね」

「でもさ、まぁ、パスフレーズ使えるんなら、絶対そっちの方がいいと思うんだけどなぁ」

「えぇ、そんなもんですかね」

「そんなもんだよ。もっとも、単に辞書単語並びにならないようには、気をつけないとね」

　東山が聞く。

「パスフレーズって、大体は使えるんですか？」

「最近のソフトなら大丈夫なんじゃないか？俺もわからん、それは」

「Officeソフトの暗号化って、強度は大丈夫なんですか？」

「まぁ、パスフレーズが使える暗号の強度は、某国の国防相が、国防的には安心できない、けど、通常用途なら全く問題ない、ということで、一般におろしてくれた暗号なんで、それなりに高い強度を持っていると言えるよな」

「でも、そんなに強度がしっかりしてると、暗号化や復号に、えらい時間がかかったりしませんか」

　そうか、そういう疑問はあるわな、と牛尾は答える。

「暗号化ってどうやってるか。すごい複雑な暗号化アルゴリズムを、全部のビットでやったら、そりゃ時間がかかるさ。でもな、普通は、暗号化って、まず、対処ファイルを一旦、特別なアルゴリズムで圧縮するんだ。この圧縮にも、鍵にあたるものがあるんだけど、その鍵を、フル暗号化かける、って方法がとられるんだ。公開鍵って知ってるか？普通の暗号化は、この方法を取るんだ。公開鍵は、暗号化に使う、ペアになる秘密鍵、これを持っている人だけが復号できる。複数の人に暗号化したファイルをシェアしなければならない時にさ、暗号の鍵を、シェアする全員に通知するのって、どう思う？変だろ？」

「そう言われてみれば、そうですね」

「事前に同じ鍵を共有しておく、って方法もとられるけど、いろんなケースでそれぞれに鍵を作ると、だんだん数が増えてきて、管理どころではなくなるだろ。そんなときに、公開鍵方式さ。まず、自分の鍵を作ると、公開鍵と秘密鍵のペアが作成される。その秘密鍵は、自分だけで大事に保管しておくんだが、公開鍵は一般に広く頒布するんだ。それ専用のサーバもあって、俺の公開鍵も登録されてるよ」

「なるほど」

「じゃぁさ、Aさんと、Bさん、二人に暗号化して送る場合、Aさんの鍵で暗号化して、Bさんの鍵で暗号化して、ってやってもいいけど、それが10人20人、となると、しんどいだろ？どうすればいいと思う？」

「・・・なるほど、そうですよね、どうするんだろ、、、No Ideaです」

「で、さっき言った話になるんだよ。ファイル全体の暗号化は、まず圧縮する鍵で実施するんだよ。本体の暗号化は一つ。そして、その圧縮した鍵を、受取人のAさん、Bさんの公開鍵でそれぞれ暗号化して、ファイルにくっつけるんだ。１００人にもなれば別だけど、この程度ならほとんどファイルサイズはかわらないで、複数人に向けた暗号化ができるんだよな」

「はぁ〜なるほど。よく考えられていますね」

「まぁな。ただ、一つ、気をつけろよ。落とし穴はあるかもしれない。オープンソースの良いところってのは、ブラックボックスがないってことなんだ。俺はコードをハックする気はないけど、その気になれば、裏口とかが仕込まれていないことを確認できるんだ。でも、バイナリでしか提供されていないようなツールは要注意だ。裏口が仕込まれてる可能性があるんだ。たとえば、このOfficeの文書暗号化だけどな、、、公開鍵方式が使われているんだ。そして、驚くなよ。このベンダーの公開鍵も使われているんだよ。つまりさ、『パスワード忘れた、何とかしてくれ』というユーザがあまりにも多いものだから、通常は冷たくあしらうけど、そうもいかない有力者から泣きつかれたときのためにな。もう一つは、これはわかんないけどさ、当局の指導があるのかもしれん」

「えぇー、マジですか。勘弁してくださいよ。でも、当局ってことはないんじゃないです？」

「なんで？今や、メールは全部暗号化されてるだろ？それは知ってるよな？」

「えぇ」

「昔さ、ヨーロッパの某国、自由の国だぜ、あの国、インターネットで暗号化パケットが行き来する場合は、政府にその鍵を登録することが義務付けられてたんだ。だから、暗号化のデータを送る時、トレースルートで、その国を通らないことの確認とかしてたんだよ、マジで。昔も今も、防衛技術って最大機密だったりするんで、暗号化ってとても重視されてたんだけど、某大国が、友好関係にある弱小国に、暗号化技術を無償で提供したことがあるんだ。笑えない実話だけど、それって、その大国が、労せずして友好国の通信を全て簡単に傍受できるようにしてた、ってことなんだ。つまり、裏口作っといて、簡単に見えるようにしてたって寸法さ」

「考えすぎじゃないんですか？」

「いやぁ、そんなことはないよ。だからさ、Officeソフトで暗号化することって、一定の限られた人、多分某国の諜報機関は当然のように、中身を見ることができるんだ、って思ってた方がいいよ。でもね、『見ることができる』と『見られている』は、また別次元だからね。前にどっかでも話したことがあるんだけどさ、ウチの持ってるデータなんて、国防ほどの厳密性はいらないんだよ。どうしても見たい、だから頑張って解読を試みる、ってほどの価値はない、っていうか、ほとんどはそうじゃないかな？某国のエシュ某、って機関あたりでは、その気になれば、うちの持ってるデータなんて丸裸なんだよ。でもさ、誰も見てないと思うよ、だって、そんな価値を認めてないからね」

「まぁ、各国諜報機関レベルでは、うちのデータなんて対象外でしょうけどね。それにしても、何を信じていいのかわからなくなってきますね」

　牛尾は、ちょっと吹き出しながら応答する。

「はは、、、本気でデータの安全性を守りたいなら、何をしたって無駄だよ。一から全部、通常業務に使うソフトに至るまで自前で調達するなら別だけど、それを社外に人に使えるように、なんてできないからな。でも、じゃぁ、当局がオレらのデータを、『その気になれば』見ることができる、って、これ、リスクか？ってことだ。オレに言わせれば、そんなのリスクじゃない。だから、気にせず使ってるんだ。だから、いつも言ってるんだよ。正しく怖がれ、って。リスクが何か、それに対してどういう対応を取るか、なんだよ」

「わかります。そうですよね。でも、まずは、何ができるか、何がリスクか、を明確に把握すること、なんですね。正しい知識を持つこと、それにより正しい対策を選択できる」

　牛尾はニッコリして頷く。

　そろそろみんな、育ってきたのかな。