アカウント名:
パスワード:
>今日私はパブリック/プライベートキーによる暗号化の基本的なプロセスを説明するよう、>20年以上の経験を持つエンジニアに質問したが、このエンジニアは何の知識も持っていなかった。
仮にそれを非常に高度な技術力で実装した経験があったとしても、昨日今日、実装した人ばかりでは無い。むしろそうでない人の方が大多数だろう。仮に知識も経験もあっても、やってから10年もたてば技術は陳腐化するし、なにより人間は忘れる生き物だ。仮に覚えていても、突然質問されて10年前のことを上手く説明するのは無理。
この求人が暗号化技術を専門とする技術者で、Requirementsの最初に「公開鍵暗号」となっていない限りは、質問の方が不適切だろう。
これは質問が悪いと思うんだよな。用語じゃなく「何を意図した質問なのか」がさっぱり分からない。仮に公開鍵と伝わったとしても、実装経験のある人間なんかおそらく0.1%もいない。
というか、ツールでも使った事ない技術者はいくらでもいると思う。とりあえず20年システム屋さんやってるけど、「PGPで送りますか」って言って通じた事は残念ながら一度もないってのが正直な話。「どのように暗号化しますか」の質問に対しては、圧縮ファイルにパスワードを掛けると回答する技術者が大半だと思う。というか、企業の情報セキュリティガイドラインがそうなってる。
喩えるなら、自動車修理工場の整備士がどんなに腕が良くて経験があろうとも、タイヤがなぜ4つなのかの理由を答えられるとは限らないという事。
#リストランテの料理人に「なんでパスタって茹でる時に塩入れんの?」でも可
公開鍵暗号のアルゴリズム自体はわからなくても、OpenSSLやGnuPGはソースを公開してる訳ですから、如何にして公開鍵暗号を使って暗号化し、復号化するか。と言う原理自体が分かっていれば、後はソースを見ながら実際のプロセスを実装したり、独自の関数式を暗号鍵の発行や暗号・復号に使うだけならば、当該ソフト・ミドルウェアにポーティング出来ますよね。# 公開鍵暗号を一から実装しなくても、とりあえず使えれる物を寄せ集めてライセンス侵害しないように作り直せればなんとかなるよね。と云うこと。
そういう辺りの話をしたかったんだと思いますが、公開鍵暗号を意識して使ったか、もしくはそれに興味を持った経験がある人で、そこそこ業務経験があれば、意を汲んで話せる気がするんですけどね。現実は予想の斜め上というか、そこまで好奇心旺盛な人がいなかったという辺りが、この話の肝なんじゃないですかね。
>暗号化システムの独自実装ってでっかいセキュリティホール作る一番簡単な方法ですよね。確かにそうですね。只、そういうニーズは少なからずある訳じゃないですか。クローズドな暗号化手順やアルゴリズムを実装して(試験的に)内輪で使うとか、組み込む側のライセンスの関係で流用が困難だとか。このタレコミに引用されてる質問は、要はこういう事を出来る人を探していたのではないか?と、勝手ながら推測しておりましたので。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
経験者でも、そればっかりやってるわけじゃないし... (スコア:0)
>今日私はパブリック/プライベートキーによる暗号化の基本的なプロセスを説明するよう、
>20年以上の経験を持つエンジニアに質問したが、このエンジニアは何の知識も持っていなかった。
仮にそれを非常に高度な技術力で実装した経験があったとしても、
昨日今日、実装した人ばかりでは無い。むしろそうでない人の方が大多数だろう。
仮に知識も経験もあっても、やってから10年もたてば技術は陳腐化するし、なにより
人間は忘れる生き物だ。仮に覚えていても、突然質問されて10年前のことを上手く
説明するのは無理。
この求人が暗号化技術を専門とする技術者で、Requirementsの最初に
「公開鍵暗号」となっていない限りは、質問の方が不適切だろう。
Re: (スコア:2, 参考になる)
これは質問が悪いと思うんだよな。
用語じゃなく「何を意図した質問なのか」がさっぱり分からない。
仮に公開鍵と伝わったとしても、実装経験のある人間なんかおそらく0.1%もいない。
というか、ツールでも使った事ない技術者はいくらでもいると思う。
とりあえず20年システム屋さんやってるけど、「PGPで送りますか」って言って通じた事は残念ながら一度もないってのが正直な話。
「どのように暗号化しますか」の質問に対しては、圧縮ファイルにパスワードを掛けると回答する技術者が大半だと思う。
というか、企業の情報セキュリティガイドラインがそうなってる。
喩えるなら、自動車修理工場の整備士がどんなに腕が良くて経験があろうとも、タイヤがなぜ4つなのかの理由を答えられるとは限らないという事。
#リストランテの料理人に「なんでパスタって茹でる時に塩入れんの?」でも可
Re: (スコア:1)
公開鍵暗号のアルゴリズム自体はわからなくても、OpenSSLやGnuPGはソースを公開してる訳ですから、如何にして公開鍵暗号を使って暗号化し、復号化するか。と言う原理自体が分かっていれば、後はソースを見ながら実際のプロセスを実装したり、独自の関数式を暗号鍵の発行や暗号・復号に使うだけならば、当該ソフト・ミドルウェアにポーティング出来ますよね。
# 公開鍵暗号を一から実装しなくても、とりあえず使えれる物を寄せ集めてライセンス侵害しないように作り直せればなんとかなるよね。と云うこと。
そういう辺りの話をしたかったんだと思いますが、公開鍵暗号を意識して使ったか、もしくはそれに興味を持った経験がある人で、そこそこ業務経験があれば、意を汲んで話せる気がするんですけどね。
現実は予想の斜め上というか、そこまで好奇心旺盛な人がいなかったという辺りが、この話の肝なんじゃないですかね。
Re: (スコア:2, すばらしい洞察)
Re:経験者でも、そればっかりやってるわけじゃないし... (スコア:1)
>暗号化システムの独自実装ってでっかいセキュリティホール作る一番簡単な方法ですよね。
確かにそうですね。
只、そういうニーズは少なからずある訳じゃないですか。
クローズドな暗号化手順やアルゴリズムを実装して(試験的に)内輪で使うとか、組み込む側のライセンスの関係で流用が困難だとか。
このタレコミに引用されてる質問は、要はこういう事を出来る人を探していたのではないか?と、勝手ながら推測しておりましたので。