ダメなものはダメ - うっくつさん本を読む。

http://www.kt.rim.or.jp/%7ekbk/zakkicho/09/zakkicho0909b.html#D20090916-2の話。

exploitable な情報の格納を効果的でない (ineffective) 暗号化 (コンパイルしたパスワードをプログラムに埋め込んだ symmetric ciphers、trivial なパスワード、すべての "decoder-ring", 自家製暗号、プロプラだったり検証されていない暗号)　を使って行ってしまう

プロプライエタリ。

プロプライエタリのソフトウェアではこういったダメ暗号化技術がしばしば使われている。正確に言えばプロプライエタリ以外でも使われているが、プロプライエタリの場合はダメ暗号化技術を使っていることがなかなか公にされない。

その結果はどうなるか。

正規利用者にとってダメ暗号化技術は単なるオーバーヘッドで、処理が重くなったり不便になったりといったものに過ぎない。悪質利用者にとってダメ暗号化技術は絶好の狩り場で、正規利用者が安全だと思って預けた重要な情報を自由に盗聴・改竄できるといったものになる。

その背景。

暗号化技術は価値があるものと思われており、大抵の場合は機密事項として扱われる。しかし、大抵のプロプライエタリ内にはごく僅かな暗号化技術の専門家しかいない*1。そして、その全員が当のダメ暗号化技術の開発に携わっている。
このような状況だと部外者は何が問題なのか窺い知ることもできないし、関係者は何が問題なのか隠した方が都合が良いということすらある。ダメ暗号化技術がダメなのは言うまでもないのだけれど、ダメ暗号化技術が生き残ってしまう状況も同じくらいにダメだろう。

*1:「専門家」を名乗っている人の中にはプロプライエタリ内でそのダメ暗号化技術のみを学んだという人すらいるが、それは論外として数えないことにしよう。