世の中に、多くのセキュリティ向けソフトウェアがあって、それの基幹技術として暗号が使われています。
で、まあ「**」を使ってる、とか書いてあるわけですが、
・本当に、そのアルゴリズムを使っているのか
・暗号利用モード(ブロック暗号の場合)とか、パディング(公開鍵暗号とか)はどうなっているのか
・バックドアはないのか
・乱数をもとにセッション鍵等を作るものの場合、その乱数はどこから取ってるのか
オープンソースのソフトウェアだと、自分で追いかければいいわけだけど、プロプライエタリなソフトウェアだと、どう検証すればいいんだろうか。基本はソースベースで検証するしかないんだと思うんだけど。
公的なソフトウェア認証機関とか作れないものかな。
「AES Certified」とか「Camellia Certified」とか、パッケージにロゴがあったら安心感は増すと思うのだけど。
一応、アルゴリズムとしては安全なRC4を使ったWEPが解かれたことを考えると、製品そのもののセキュリティについて(使われている暗号の名前だけではなく)ユーザーがもうちょっと判断できる材料を客観的に示せるといいかな、と思います。
#CRYPTRECとかでやらないかな。
