| Security Tips | ||
 |
OpenSSLを使って公開鍵暗号でファイルを暗号化 りょうわあきら |
|
共通鍵暗号方式では、暗号化の際に鍵となるパスワードを手動で入力する必要がある。これはシェルスクリプトなどで指定ファイルを自動的に暗号化して保護したいような場合、例えばログローテーションの際に自動的にログを暗号化して保存するといったような用途では障害になる。パスワードをコマンドライン引数として渡すこともできるが、そうするとそこから鍵が漏えいする危険性が極めて高いため、やめた方がよい。そのような場合には、公開鍵暗号方式の使用をお勧めする。
公開鍵方式を使用するコマンドとしてはGnuPGコマンドが広く知られているが、opensslのsmimeコマンドを使用しても同様に暗号化を行うことができる。
S/MIME用公開鍵証明書をsmime.cer、これに対応するRSA秘密鍵をsmime.keyとする。鍵の対は暗号化を行うシステムとは別の信頼の置けるシステム上で作成し、公開鍵だけを暗号化を実行するシステムにコピーしておく。対象ファイルをoriginal.txt、暗号化後のファイルをencrypted.txtとすると、以下のコマンドで暗号化を実行できる。公開鍵を用いるので、暗号化は自動で完了しパスワードなどは要求されない。
$ openssl smime -encrypt -aes256
-in original.txt -out encrypted.txt smime.cer
|
一方、暗号化したファイルを復号する場合には、以下のようなコマンドを実行すればよい。秘密鍵がパスフレーズを鍵にして暗号化されている場合は、引き続いてパスフレーズを入力すると元のデータが復号される。
$ openssl smime -decrypt -aes256
-in encrypted.txt -out original.txt -inkey smime.key -recip smime.cer |
秘密鍵のファイルは設定ミスや侵害によって漏えいしないように、システム上には保存せずUSBメモリなどのリムーバブルメディアに書き出して常に持ち歩くようにするとよい。このような運用をすれば、秘密鍵の不正使用防止にもつながる。
 |
Security Tips Index |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
