(実際にはほぼTLSであり、SSLが使用される事はまずない)
どういった暗号を使用して通信を行うかはクライアントPCとサーバ側のSSL/TLSのHandShakeにより自動的に決定される為、何の暗号が使われているかを意識する事は少ない。実際にどういう暗号が使われているのかを確認する方法としては、FireFoxで見るのが簡単だ。
以下はみずほ銀行のネットバンクをFireFoxで表示させて、暗号モードを確認した例だ。
かなりはしょって表示されるが、AES-256 256bit(高強度の暗号化)と表示された。
その他のサイトはどうなってるのか?個人的に興味があったので日本の銀行系のサイトに対して確認を行った。結果は以下の通り。
(個人向けのインターネットバンキングと思われるサイトを確認してます)
【AES-256だったサイト】
東京三菱UFJ銀行、みずほ銀行、りそな銀行、ゆうちょ銀行、ソニー銀行、楽天銀行
【RC4-128だったサイト】
三井住友銀行、セブン銀行、住信SBI銀行、シティバンク、ジャパンネット銀行、新生銀行
AES-256、もしくはRC4-128に二分される。尚、クライアントPCはWin VISTAである。どちらの暗号がいいのか?それはもちろんAES-256である。
じゃあ、RC4-128だとダメなのか?と言われるとそういうわけでも無く、暗号強度は十分であり、少なくとも盗聴されたとしても解読される事は無いだろう。
しかし、、、近年のサーバ側の機器やソフトウェアはほぼ間違い無くAES-256に対応している事を考えると、上記でRC4-128となっているサイトは
①サーバ側の機器/ソフトが古い
or
②サーバ側の機器/ソフトは最新だが、暗号云々に詳しい人がいない、もしくはさして関心が無い
のいずれかじゃないかなと思う。
私も上記でRC4-128の銀行を使用しており、、、
早くAES-256にして欲しいなと思う今日この頃。。
