アカウント名:
パスワード:
電子取引ですべて終わるように仕組みができあがっている所との取引相手ならばファックスなんぞは使うことは無いのだが、そうではないスポット的な取引では共通で使われているプロトコルとしてファックスは非常に使えるよ。これは諸外国でも同じだと思うのだがどうなのか。
#最後の手段は郵送
それでも年々利用頻度は少なくなっていたのだが、最近は、セキュリティの問題で、暗号化したデータのパスワードをファックスで送るというやり方で再び利用頻度が上がっている。こちらは紙で送ったりはしていないし、先方も実際に紙で出力しているかどうかは不明だが。
文字で送れるのと、確実に伝達できるという事からファックスは重要なんだよ。
つうか、アメリカで行政や銀行相手に何か手続きをやろうと思ったらファックスが無いと何にもできなかったんだが、イギリスでは違うのか?
セキュリティの問題で、暗号化したデータのパスワードをファックスで送るというやり方で再び利用頻度が上がっている。
固定電話の通信は平文でやりとりされるため、盗聴や改竄に対して脆弱です。セキュリティ対策としては問題があります。
パスワードだけ改竄、盗聴されても問題は無いと思いますけどネットと電話両方がクラックされている、という状況なら話は別ですが、それは末期癌に犯されているのに、そっちを無視して昼飯の塩分取り過ぎを気にするようなもんで。
ネットと電話両方がクラックされている、という状況なら話は別ですが
自組織内の設備がガチガチに安全でも、経路や相手先組織で盗聴・改竄される可能性があります。たとえば固定電話は、街路の電話線をフックすれば盗聴できます。電子メールを平文で送る場合も同様です。
もちろん、これらの問題を無視する方が有益な場合もあるでしょうが、問題は問題です。
どうみてもデータと暗号キーを別の方法で送るという話ですけど、どうして電子メールとFAXが同じ電話線を通るって解釈したんですか?
それから可能性がある事を問題にするのはセキュリティ対策じゃないね
暗号文と秘密鍵のどちらか一方は安全な方法で伝えなければいけないっていう話じゃないの?で、電話は公社により管理されている(いた)という制度的な建前こそあれ、原理的な安全性がないから安全な方法足り得ないということじゃないの?
つまり原理的な安全性は存在しないから、もうみんな死ぬしか無いんですね、わかります
情報セキュリティって大抵は小さな部分一つだけを力ずくで守って、そこを起点に信頼を構築するでしょ。別に電話線をエンドツーエンドで盗聴から守ってもいいけど、それが妥当な保護かどうかは検証しないといけないんじゃないの?
分かりづらい書き方で失礼しました。「電子メールを平文で送る場合も同様」は、電子メールをインターネット経由で送信する場合も、固定電話と同様に経路上での盗聴・改竄の可能性がある、という意味です。
???
私は、電子メールと固定電話の併用によって通信の秘匿性を確保するという「セキュリティ対策」は、自組織の努力によっては盗聴・改竄を防げず、したがって秘匿性が失われる「可能性がある」ために「問題がある」という指摘をしたのですが、この指摘のどの部分について、何を言っていらっしゃいますか?
可能性がある事は当たり前で問題じゃ無い。それに対する対処がない事が問題
これでわからなければISO/IEC 27000を勉強しろ
その27000何チャラとやらはそれに対する対処を示してくれると言っていますか?もしそうなら素晴らしいのですが。。。
270000ってリスクを良い物も有ると定義したのはいいけれど、それにより、悪いリスクについて何も言えなくなってしまった様に見えますが、何か27000を踏まえた対処の仕方について案をお持ちなのでしょうか?
27000を参照しているならリスクの話しでしょうけど、
この手のリスクって、・自然言語とプログラム言語には表現出来る因果関係にずれが有る。・自然言語のみを正文書としたため、プログラム言語のみに表現 出来る因果関係が「隠れた因果関係」扱いに見えてしまう。・それをリスクだリスクだと騒いでいるだけ。に見えますが。
そのケースで自分側と相手側を区別する意味はありますか?どっちがやられたとしてもその二者間で共有した情報は漏れるでしょう。
IP網と電話網の両方に枝が付くような情勢ではどのみち秘密なんて守れんよ。そういう攻撃にまで耐える情報セキュリティを意識した環境ではEメールも電話も使うべきではない。VPNで相手と直接の通信網を構築するとかそういうレベルでないとお話にならない。そんな状況では「パスワードはFAX」って行為自体がそもそも実行不可能になるよ。つまり「電話が使えるようなレベルのセキュリティの場合はその程度の保護でもよい」ということ。
だから鍵と暗号文の両方を電気通信で送るなって言ってんの。一般市民の皆様は電話の銅線は安全だけどIP網のファイバは危険っていう武蔵野系プロパガンダを信じてるかもしれないけど、銅線もファイバもタップの危険性では同じなの。理由は平文だから。
暗号化するなら、鍵は手渡しするかPKIでなんとかするかしかないの。ファイバと銅線の片方は常に盗聴されうるけど両方は面倒そうだから同時に盗聴されないことに自分の職位を賭けても良いだろうっていうのは何の根拠も担保もない単なる甘え。
電話網とかインターネット網に直結してる時点でそこまで求める環境じゃないって話なんですけど。そこまで求める環境じゃないなら、2系統も監視されてる時点で敗北ということで諦める。安全だって言ってるわけじゃなくて、要求ラインがその程度でしかない。
真面目にやるなら名刺交換のついでに公開鍵渡してそれ使えばいいけど、既存の相手と鍵交換して公開鍵暗号環境導入して使用方法を教育して…ってコストを掛けてまでその安全性を求める気がないんだからそれでいいんだよ。
> 一般市民の皆様は電話の銅線は安全だけどIP網のファイバは危険本題関係ないけどIP網より電話線の方が盗聴は簡単だろうなぁ…
タップされない前提なら暗号化自体がいらないのでは?
「両方同時にはされない前提(一方だけならあり得る)」とか「送り先間違えちゃったケース」とか想定したらまぁナントカ?程度問題で妥協する訳だから手順増やしてヒット率下がればそれでいいんじゃないかな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
ファックスは最後の一歩手前の手段 (スコア:1)
電子取引ですべて終わるように仕組みができあがっている所との取引相手ならばファックスなんぞは使うことは無いのだが、そうではないスポット的な取引では共通で使われているプロトコルとしてファックスは非常に使えるよ。これは諸外国でも同じだと思うのだがどうなのか。
#最後の手段は郵送
それでも年々利用頻度は少なくなっていたのだが、最近は、セキュリティの問題で、暗号化したデータのパスワードをファックスで送るというやり方で再び利用頻度が上がっている。こちらは紙で送ったりはしていないし、先方も実際に紙で出力しているかどうかは不明だが。
文字で送れるのと、確実に伝達できるという事からファックスは重要なんだよ。
つうか、アメリカで行政や銀行相手に何か手続きをやろうと思ったらファックスが無いと何にもできなかったんだが、イギリスでは違うのか?
Re: (スコア:1)
固定電話の通信は平文でやりとりされるため、盗聴や改竄に対して脆弱です。セキュリティ対策としては問題があります。
Re:ファックスは最後の一歩手前の手段 (スコア:0)
パスワードだけ改竄、盗聴されても問題は無いと思いますけど
ネットと電話両方がクラックされている、という状況なら話は別ですが、それは末期癌に犯されているのに、そっちを無視して昼飯の塩分取り過ぎを気にするようなもんで。
Re:ファックスは最後の一歩手前の手段 (スコア:1)
自組織内の設備がガチガチに安全でも、経路や相手先組織で盗聴・改竄される可能性があります。たとえば固定電話は、街路の電話線をフックすれば盗聴できます。電子メールを平文で送る場合も同様です。
もちろん、これらの問題を無視する方が有益な場合もあるでしょうが、問題は問題です。
Re: (スコア:0)
どうみてもデータと暗号キーを別の方法で送るという話ですけど、どうして電子メールとFAXが同じ電話線を通るって解釈したんですか?
それから可能性がある事を問題にするのはセキュリティ対策じゃないね
Re:ファックスは最後の一歩手前の手段 (スコア:2)
暗号文と秘密鍵のどちらか一方は安全な方法で伝えなければいけないっていう話じゃないの?
で、電話は公社により管理されている(いた)という制度的な建前こそあれ、原理的な安全性がないから安全な方法足り得ないということじゃないの?
Re: (スコア:0)
つまり原理的な安全性は存在しないから、もうみんな死ぬしか無いんですね、わかります
Re:ファックスは最後の一歩手前の手段 (スコア:2)
情報セキュリティって大抵は小さな部分一つだけを力ずくで守って、そこを起点に信頼を構築するでしょ。
別に電話線をエンドツーエンドで盗聴から守ってもいいけど、それが妥当な保護かどうかは検証しないといけないんじゃないの?
Re:ファックスは最後の一歩手前の手段 (スコア:1)
分かりづらい書き方で失礼しました。「電子メールを平文で送る場合も同様」は、電子メールをインターネット経由で送信する場合も、固定電話と同様に経路上での盗聴・改竄の可能性がある、という意味です。
???
私は、電子メールと固定電話の併用によって通信の秘匿性を確保するという「セキュリティ対策」は、自組織の努力によっては盗聴・改竄を防げず、したがって秘匿性が失われる「可能性がある」ために「問題がある」という指摘をしたのですが、この指摘のどの部分について、何を言っていらっしゃいますか?
Re: (スコア:0)
可能性がある事は当たり前で問題じゃ無い。
それに対する対処がない事が問題
これでわからなければISO/IEC 27000を勉強しろ
Re: (スコア:0)
その27000何チャラとやらはそれに対する対処を
示してくれると言っていますか?
もしそうなら素晴らしいのですが。。。
Re: (スコア:0)
270000ってリスクを良い物も有ると定義したのはいいけれど、
それにより、悪いリスクについて何も言えなくなってしまった
様に見えますが、
何か27000を踏まえた対処の仕方について案をお持ちなので
しょうか?
Re: (スコア:0)
27000を参照しているならリスクの話しでしょうけど、
この手のリスクって、
・自然言語とプログラム言語には表現出来る因果関係にずれが有る。
・自然言語のみを正文書としたため、プログラム言語のみに表現
出来る因果関係が「隠れた因果関係」扱いに見えてしまう。
・それをリスクだリスクだと騒いでいるだけ。
に見えますが。
Re: (スコア:0)
そのケースで自分側と相手側を区別する意味はありますか?
どっちがやられたとしてもその二者間で共有した情報は漏れるでしょう。
IP網と電話網の両方に枝が付くような情勢ではどのみち秘密なんて守れんよ。
そういう攻撃にまで耐える情報セキュリティを意識した環境ではEメールも電話も使うべきではない。
VPNで相手と直接の通信網を構築するとかそういうレベルでないとお話にならない。
そんな状況では「パスワードはFAX」って行為自体がそもそも実行不可能になるよ。
つまり「電話が使えるようなレベルのセキュリティの場合はその程度の保護でもよい」ということ。
Re:ファックスは最後の一歩手前の手段 (スコア:2)
だから鍵と暗号文の両方を電気通信で送るなって言ってんの。一般市民の皆様は電話の銅線は安全だけどIP網のファイバは危険っていう
武蔵野系プロパガンダを信じてるかもしれないけど、銅線もファイバもタップの危険性では同じなの。理由は平文だから。
暗号化するなら、鍵は手渡しするかPKIでなんとかするかしかないの。ファイバと銅線の片方は常に盗聴されうるけど両方は面倒そうだ
から同時に盗聴されないことに自分の職位を賭けても良いだろうっていうのは何の根拠も担保もない単なる甘え。
Re: (スコア:0)
電話網とかインターネット網に直結してる時点でそこまで求める環境じゃないって話なんですけど。
そこまで求める環境じゃないなら、2系統も監視されてる時点で敗北ということで諦める。
安全だって言ってるわけじゃなくて、要求ラインがその程度でしかない。
真面目にやるなら名刺交換のついでに公開鍵渡してそれ使えばいいけど、
既存の相手と鍵交換して公開鍵暗号環境導入して使用方法を教育して…
ってコストを掛けてまでその安全性を求める気がないんだからそれでいいんだよ。
> 一般市民の皆様は電話の銅線は安全だけどIP網のファイバは危険
本題関係ないけどIP網より電話線の方が盗聴は簡単だろうなぁ…
Re:ファックスは最後の一歩手前の手段 (スコア:2)
タップされない前提なら暗号化自体がいらないのでは?
Re: (スコア:0)
「両方同時にはされない前提(一方だけならあり得る)」とか
「送り先間違えちゃったケース」とか想定したらまぁナントカ?
程度問題で妥協する訳だから手順増やしてヒット率下がればそれでいいんじゃないかな。