はてなブックマーク

はじめに 暗号理論に秀でよ。これは学べば学ぶほど退屈な代物だ。ただ、HMACしてから暗号化と、暗号化してからHMACの違いがわからないようでは、到底エースセキュリティエンジニアとはいえない。 先日、ある技術ブログを見ていたら、こんな一文を見かけました。 違いがすぐに出てこなかったので、簡単にまとめた記事になります。 一見すると些細な順序の違いに思えますが、実はこの違いがシステムのセキュリティ強度を大きく左右する、非常に重要な原則を突いています。 この記事では、 そもそも「HMACする」とはどういう意味か？ なぜ暗号化とHMACの適用順序が重要なのか？ なぜ「暗号化してからMAC（Encrypt-then-MAC）」が推奨されるのか？ といった点について、できるだけ分かりやすくまとめました。この原則を理解することで、より堅牢なシステム設計ができるのではないかと思います。 そもそも「HMACす