パスワードの暗号強度
パスワードには攻撃・解読し難い文字配列を使用し、暗号化レベルの高いものを選択しなければなりません。暗号強度に関する教育として、パソコンを使った具体的な練習が効果的と考えます。
(具体例)
(1) Adobe Acrobat にてPDF文書を作成します (著作権を有する他人のファイルの暗号化パスワードを解読してはいけません)。
サンプル文書を作成後、
セキュリティ 「表示と編集の制限」選択
暗号化レベル 低 (40-bit RC4)
□ 文書を開くときにパスワードが必要
の順に選択し、
⇒ パスワードを 3 文字以内で作成します( APDFPR Pro version 2.21 トライアル・無償版の利用制限のため)。
注: Acrobat 5.0以降に互換性のある PDFリーダーであれば、暗号化レベル 128-bit ビットの使用可能です。
(2) APDFPR Pro をダウンロード・インストールします。
Advanced PDF Password Recovery Professional (APDFPRP)
APDFPR Pro version 2.21 (March 31, 2005; 1550KB)
apdfprp.zip
⇒ http://www.elcomsoft.com/apdfpr.html
動作PC環境:Windows 9x, Windows ME, Windows NT 4.0, Windows 2000, Windows XP or Windows Server 2003
Encrypted PDF-file に 上記(1)作成PDFファイルを指定
Brute-force Range options, Password Length optionsを適当に選択 (無償版であれば、Password Lengthの変更はできません)
【Type of Attack】の選択
Brute-force ブルートフォース
Mask マスク
Dictionary 辞書
Key search キー検索
「ブルートフォース」とは、発見的な方法や知的な観察に基づく方法でなく、単純な計算を繰り返すなど総当りで解決することです。
固定リンクページ:「パスワードの安全性」
⇒ http://tokyo-pax.co.jp/200207.htm
"総当たり攻撃 マスキング 辞書攻撃" などの解説をご覧下さい。
APDFPR Pro version 2.21 無償版の 「キー検索」では、1,099,494,850,560 keys が対象となります。
メニュー「Start recovery」をクリックします。
通常の攻撃を回避するため、パスワードを作成するときの留意点がよく理解できると思います。
また、パスワードの文字数と解読に要する時間との関係については、
(再掲ページ) 「パスワードの安全性」
⇒ http://tokyo-pax.co.jp/200207.htm
をご覧下さい。
[追記] 北海道江別市の立命館慶祥中学校で発生した「学内業務用サーバーに同校生徒が不正アクセスし、データが流出した」問題
http://www.spc.ritsumei.ac.jp/kojinjouhouhogo/20050603houkoku.htm
については、「生徒用パソコンからは業務用サーバーにアクセスできたため」大事に至らなかったともいえます。パスワードの文字列の中に氏名とは関係のない数字や文字を 1文字加えるだけでも、パスワードとしての効果があります。
しかし、このようなLAN構築が国内の学校では主流であり、データやネットワーク全体の暗号化が行われていないのであれば、パスワードがわからなくてもパケットを傍受されるだけで、データ流出の危険性があります。
