パスワード付きZipファイルの暗号化方式のおさらい

PPAP廃止の宣言が出てそろそろ3年近く経ちますね。
そもそもパスワード付きZipなんてもう使わないよ！と言われそうですが、今回はもし使う機会があった場合の備忘録です。

なぜパスワード付きZipファイルは廃止対象になったのか

1. パスワードを解答しなくてもファイル名が確認できる
2. 添付ファイルとパスワードをメール経由のみで行うと、盗聴されていた場合に容易に閲覧できてしまう
3. zipファイルのパスワードに対し、入力誤りの回数制限を設けられない（総当たり攻撃に対応できない）

1,2は運用で回避することもできそうですが、3が対処できないのが大きいですね

パスワード付きZipファイルの暗号化方式

ZipCrypto（Standard zip 2.0）

• 古くからサポートされている暗号化技術
• 鍵長が96bit
• メリット
  • Windowsで解凍可能（多くのソフトウェアでサポートされている）
    ※ただしWindowsでパスワード付きzipの作成は不可。デメリット
• 容易かつ短時間で解析ができてしまう

AES

• 「AES（Advanced Encryption Standard）」アメリカが標準暗号として定めた共通鍵暗号アルゴリズム
• 鍵長が128bit、192bit、256bitの3種類（圧縮・解凍ツールではAES128,AES256を主に使用）
• メリット
  • 解析に時間を要するため、ZipCryptoと比較してセキュリティ面は高い
• デメリット
  • Windowsで圧縮・解凍不可のため、圧縮・解凍ツールが必須。

まとめ

セキュリティ面でAESでの暗号化が望ましいですが、送信先にも圧縮・解凍用ツールのインストールをお願いするケースがでてきますので、共有する書類の機密性に合わせて使い分けた方が良いかもしれません。
やはり一番はオンラインストレージの利用ですかね・・・