のぞき見されたくないファイルを暗号化する方法Geek to Live

フリーの暗号化仮想ドライブ作成ソフトTrueCryptを使って、機密のファイルを簡単に暗号化する方法を紹介する。(Lifehacker)

» 2006年07月19日 15時08分 公開
[Gina Trapani,Lifehacker]
LifeHacker

【この記事は、2006年6月2日付で米ブログメディア「Lifehacker」に掲載された記事を翻訳したものです。】

 誰しも、侵入者や通りすがりの人にのぞき見されなくたいファイルを幾つか持っているものだ。大学院での4年間分の研究成果をバックアップしているUSBメモリを、万が一、紛失してしまったら? 5歳の子供がママとパパの秘密のファイルを、偶然、開いてしまったら? そんな心配は誰にでもある。だがこれからは心配無用だ。機密のファイル、または機密の外部ディスクを丸ごと暗号化して、のぞき見されるのを防ぐ簡単な手法を紹介する。

 先日、WindowsとLinuxに対応したフリーのオープンソース暗号化アプリケーション、TrueCryptを取り上げた。正しく表現するなら、TrueCryptは、オンザフライで暗号化ファイルを読み書きする仮想ハードディスクを作成するためのソフト──。と聞いて、分からなくても怖がらなくていい。一度設定してみれば一目瞭然だ。ということで、始めよう。

暗号化ボリュームの設定

1. TrueCryptをダウンロードしてインストールする。

2. TrueCryptを立ち上げ、「Create Volume」ボタンをクリックする。暗号化ドライブ設定準備のためのウィザードが立ち上がるので、「Create a standard TrueCrypt volume」をチェックして「Next」ボタンを押す。表示された画面で「Select File」ボタンを押し、暗号化ファイルを置きたいフォルダまで行って、希望の名称を入力する。例えば筆者の場合は、「C:\Documents and Settings\gina\My Documents\gtrapani.4meonly」などとする。

 (4meonlyという拡張子は筆者のオリジナルだ。ここは、どんな名称を入力してもいい。拡張子がなくてもいい。)ここで指定するのは、暗号化したいファイルの名称ではない。暗号化したいファイルを保存するための、大きなファイルコンテナの名称だ。指定が終わったら「Next」ボタンを押す。

3. 次の画面では、暗号化アルゴリズムを選択する。興味があればドロップダウンメニューから幾つかアルゴリズムを選び、それぞれ表示される情報を読んでみてもいいが、ここではあまり脇道にそれないほうがいい。大抵はデフォルトの「AES」で事足りるからだ(米政府機関のファイルに使われているアルゴリズムなので、皆さんも多分、これで十分のはずだ)。選んだら「Next」を押し、次の画面で仮想ドライブの容量を入力する。一例として、100Mバイトに設定しておく。

 そう、最初に容量を決めなければならないのがつらいところだが、これにはメリットもある。見かけ上、ファイルサイズが常に100Mバイトと表示され、他人に実サイズを知られる心配がないのだ。容量指定が終わったら「Next」を押す。

4. 暗号化ボリュームのパスワードを設定する。TrueCryptでは、アルファベットと数字が混じった20文字以上のパスワードの使用を推奨している。重要なのは侵入者を寄せ付けないことなので、パスワードはできるだけ破られにくく、推測しにくいものにしよう。

5. 次に、指定したボリュームをフォーマットする。ここがTrueCryptのクールなところ。ユーザーのシステムからランダムな情報(マウスポインタの位置など)を集め、仮想ドライブの位置をランダムデータでフォーマットして読み取れなくするのだ。「Format」ボタンをクリックしてこの作業を実行する。数秒間、コンピュータの速度が落ちるかもしれない(「Format」という言葉に怖じ気づくことはない。ハードディスクの情報を消去するわけではなく、ドライブロケーションファイル、つまり筆者の例だと「gtrapani.4meonly」をフォーマットするだけだ)。

 おめでとう! これで暗号化ボリュームの準備ができた。

ファイルの保存、取り出し

 これで、機密性の高いデータすべてをひとまとめにして鍵をかけるためのTrueCryptファイルができあがった。次は、これをどう使うかだ。

1. TrueCryptを立ち上げ、「Select File」のところで作成したばかりのボリュームを指定する。

2. ドライブリストから、(Z:など)利用可能なドライブを選んで「Mount」ボタンをクリック、前の作業で設定したボリューム用パスワードを入力する。

3. 正しいパスワードを入力すれば、仮想ドライブZ:が作成されるはずだ。マイコンピュータを見ると、ほかのドライブと並んで新しく「ローカルディスク(Z:)」が表示されている。機密データはすべて、このドライブにドラッグ&ドロップする。あたかも、もう1台別のドライブがあるように作業できる。

4. 作業が終わったら、マウントしたドライブ(Z:)を選んで「Dismount」ボタンを押す。Z:ドライブが消え、残ったのはgtrapani.4meonlyファイルだけだ。このファイルは完全に暗号化されており、サムドライブへの移動、自分へのメール、CDに焼く、iPodに送るなどが可能だ。

(注:TrueCryptでは、USBサムドライブなど、ドライブを丸ごとセキュアにすることもできる。その場合は「Select File」ではなく「Select Device」を選んで手持ちのサムドライブを選択する)

もう1つの手法:OpenSSL

 TrueCryptの短所はパスワード付きのファイルを移動する可能性のあるコンピュータすべてにこのソフトをインストールしなければならないことと、Mac OS Xとの互換性がないことだ。(注:読者のpmhesseによると、すべてのコンピュータにこのアプリケーションを完全インストールしなくても、TrueCryptのファイルをサブドライブに入れて持ち歩き、その中から使えるようにする方法がある)

 コマンドラインに慣れた人は、フリーのユーティリティーOpenSSLを使ってファイルにパスワードをかける方法もある。例えば、unencrypted-data.tarというtar形式のドキュメントアーカイブにパスワード保護をかけたいとしよう。

 コマンドラインから以下のように入力する。

$ openssl des3 -salt -in unencrypted-data.tar -out encrypted-data.tar.des3

enter des-ede3-cbc encryption password:

Verifying - enter des-ede3-cbc encryption password:

$


 これで、unencrypted-data.tarファイルが指定したパスワードで暗号化され、encrypted-data.tar.des3として出力される。暗号化したファイルのロックを外すコマンドは以下の通り。

$ openssl des3 -d -salt -in encrypted-data.tar.des3 -out unencrypted-data.tar

enter des-ede3-cbc encryption password:

$


 この手法はWindows上のCygwin、Mac OS X、Linuxで利用できる。

本稿筆者ジーナ・トラパーニはLifehackerのエディター。人には見せられない自作の詩やラブストーリーは全部暗号化している。Lifehacker上で毎週水曜と金曜にGeek to Liveコラム(RSS)を連載中。



この記事は、Lifehackerの発行元である米Gawker Mediaの許可を得て、アイティメディア株式会社が翻訳したものです。翻訳責任はアイティメディアにあります。

注目のテーマ