パスワード総合管理のセキュリティ度合い - 秀Caps/秀見え/その他秀シリーズ会議室 - スレッド00676, 2001/09/07

パスワード総合管理のセキュリティ度合い

ふみひコフ さん　01/09/07 21:43

　パスワード総合管理を試用したところ、なかなイイ感じなので、レジストしようか
と思っています。

　その前に気になる点があるので質問します(付属ドキュメントやヘルプに記載がな
かったため)。

*.secファイルそのもののパスワードや中に保存されているデータの暗号化は、それ
ぞれどの程度のレベルでしょうか。

・パスワード総合管理の作者ならパスワードを知らなくても復元出来るのか、作者で
も無理なのか
・第三者がデータファイルあるいはパスワード総合管理の実行ファイルを解析して復
元することはどの程度難しいか。

　パスワード管理関係のソフトを使おうとする時に、一番に気になる事柄です。その
あたりのポリシーを付属ドキュメント等にもあらかじめ記載していただけると助かり
ます。

RE:00676 パスワード総合管理のセキュリテ

秀まるお2 さん　01/09/10 09:51

　作者の斉藤秀夫です。

> *.secファイルそのもののパスワードや中に保存されているデータの暗号化は、それ
> ぞれどの程度のレベルでしょうか。

　パスワード総合管理の暗号化は、データのビットをランダムに入れ替えたり
反転させたり、乱数をまぎれこませるなどの方法を多重に使っています。しか
し、いわゆる「鍵」を使って暗号化するタイプでは無いので、ファイルそのも
のを作者である僕が解析すれば、中身を知ることが出来ます。

　つまり、暗号化アルゴリズムさえ分かってしまえば中身が知り得ます。ただ
し、その暗号化アルゴリズムを知り得るのは今のところ作者である斉藤秀夫だ
けです。

> ・第三者がデータファイルあるいはパスワード総合管理の実行ファイルを解析して復
> 元することはどの程度難しいか。

　僕くらいのレベルのプログラマーがパスワード総合管理を逆アセンブルして
解析するのにだいたい２ヶ月くらいかかるかなぁというレベルです。

　デバッガーでトレースできないような細工や逆アセンブルしても理解しにく
いように（例えばマルチスレッド化したり、意味のないコードを埋め込んだ
り）しているので、本気で解析したらかなりいらいらするに違いないです。

> 　パスワード管理関係のソフトを使おうとする時に、一番に気になる事柄です。その
> あたりのポリシーを付属ドキュメント等にもあらかじめ記載していただけると助かり
> ます。

　たしかにその辺の説明が無いので、んでは今度のバージョンアップの時にで
も追加させていただきます。

RE:00677 パスワード総合管理のセキュリテ

ふみひコフ さん　01/09/10 12:23

秀まるおさん、説明ありがとうございました。

　ご説明の内容で、ほぼポリシーが分かりました。

　ポリシーが分かればそれに適した運用が出来るので、助かります。
　私が使用する用途はとりあえず満たせていそうですので、もうすこし試用してみて
考えます。
　「鍵」を使う、ツール作者にも解読不可能な方式も、選べればいいなぁ、と思った
りもしています。

　使い勝手とそのへんのユーザの希望が両立するようなソフトを見つけるのはなかな
か難しいなぁ、と実感しています。(パスワード総合管理が悪いと言っているのでは
決してありませんので、誤解なさらぬようお願いします)

RE:00679 パスワード総合管理のセキュリテ

秀まるお2 さん　01/09/10 18:34

> 　「鍵」を使う、ツール作者にも解読不可能な方式も、選べればいいなぁ、と思った
> りもしています。

　たしかに僕もそう思いますが、僕自身が暗号化にあまり詳しくないので鍵を
使うタイプはちょっと難しいと思ってやめました。

　しいてやるなら、PGPを呼び出すような形で実現するのがいいと思います。
ただし、それはそれでPGPについての勉強をしないといけなくて大変です。使
う側にとってもPGPとなると、かなり敷居が高いです。