なぜ暗号化は役に立たなかったのか

米小売大手のTJX Companiesで起きた過去最大規模の顧客情報流出事件は、暗号化が特効薬でないことを示した。

暗号化と復号化のツールは別々なのか。
両方やってしまうのばかり、書いている。

　「フレーミンガムのシステムには、2006年にマスキングおよび暗号化対策を実施したが、2006年のコンピュータ侵入で利用された技術は、支払いカード発行者の承認プロセスの最中にフレーミンガムのシステムから支払いカードのデータを盗むことを可能にした。この承認プロセスでは、データ（トラック2のデータを含む）が暗号化されないまま支払いカードの発行者に送信される。さらに、TJXで利用していた暗号化ソフトウェアの復号化ツールにも侵入者がアクセスしていたと考えられる」

当たり前すぎる。。。

暗号化技術があってもデータが暗号化されなければ何の価値もないのは当然だが、クレジットカード番号が暗号化されたままだとカードを処理することができない。それゆえ、ずる賢い悪党は、データが「裸の」（つまり暗号化されていない）状態にある瞬間を狙ってそのデータを入手しようとするのだ。

TJXへの侵入者は、裸のデータが入手できない場合に備えたバックアップ対策（すなわち復号化キー）も用意していた。

これは非常に頭が痛い話。
常に、鍵の心配をしている自分がいる。
ずさんではない環境を一度体験してみたい。

共有鍵暗号方式は本質的にリスクが大きい。人々は、鍵を保管するのに便利だけれども途方もなく危険な場所を考え出すからだ。

DES は24時間以内に解けてしまうのか。
3DES はその3倍の時間で？

暗号化をめぐるもう1つの罠が、弱い暗号の使用である。当初のDES（Data Encryption
Standard）暗号化は、現在では多くのアプリケーションにおいてセキュリティが不十分だと考えられている。これは主として、鍵のサイズが56ビットというのは小さすぎるという理由によるものだ。DESの暗号鍵が24時間以内に解読されたこともある。また、暗号自体の論理的弱点を指摘する分析結果もあるが、これについては実際に証明されたわけではない。

人が最大のセキュリティホール。
究極の選択は、人類を滅ぼすか、システムを滅ぼすか、だと思う。

暗号化すると検索が面倒になったり、パフォーマンスが落ちたり、
デバッグもしにくいし、鍵の扱いも面倒でかつ心配だし、
セキュリティって大変ですね。