JP7238539B2 - ファイル暗号化装置と方法とプログラム - Google Patents
ファイル暗号化装置と方法とプログラム Download PDFInfo
- Publication number
- JP7238539B2 JP7238539B2 JP2019061664A JP2019061664A JP7238539B2 JP 7238539 B2 JP7238539 B2 JP 7238539B2 JP 2019061664 A JP2019061664 A JP 2019061664A JP 2019061664 A JP2019061664 A JP 2019061664A JP 7238539 B2 JP7238539 B2 JP 7238539B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- application
- data
- encryption
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明はファイル暗号化装置、方法、及びプログラムに関する。
ウィルス(標的型攻撃)や巧妙な手口によって機密情報が盗まれ外部へ流出するセキュリティ事件が後を絶たない。例えば非特許文献1において、「第1位 標的型攻撃による被害」、「第3位 ビジネスメール詐欺による被害」が選出されていることからも、明白である。ウィルス対策や情報漏えい経路の穴塞ぎでは日々発生する新たな攻撃への対応漏れリスクがある。そのため、「情報は漏れる」ことを前提とした対策、つまり、情報(ファイル)そのものを暗号化して守るファイル暗号化の対策が重要となる。
特許文献1には、記憶手段にファイルを記憶する前に、ファイルの暗号化の可否を示す暗号化情報に基づいて、ファイル毎に暗号化の必要性を判断し、暗号化が必要と判断されたファイルを暗号化するファイル管理方法、装置が開示されている。
セクタの暗号化を行う装置として特許文献2には、以下の課題が記載されている。ディスク全体を対象として暗号化を行う場合、非暗号化状態から初期暗号化を行う際に長時間(数時間程度)要する。そして、このような問題を回避する方策としては実際に使用されている領域のみを暗号化するなど、上記のディスク暗号の利点を生かしつつ目的とする特定の条件にあった記憶媒体内のデータが使用する必要な領域のみを対象とすることが考えられるが、ディスク暗号はファイルシステムより下位のファイルの概念がない階層で処理をしているため、それまでのディスク暗号はこのようなファイルなどの記憶媒体内のデータに関連付いた領域を選択的に暗号化することができなかった。特許文献2では、この課題を解決するために、以下の情報処理装置が開示されている。情報処理装置は、ディスク管理階層上ファイルシステムより上位に設けられ、記憶媒体内のデータを読み出すためのデータ読み出しアクセスを行うデータアクセス手段と、前記ファイルシステムより下位に設けられ、前記データ読み出しアクセスによって前記ファイルシステムから発生するデバイスドライバに対するセクタ単位のデータ読み出しアクセス要求によって、読み出されたセクタのデータを捕捉する捕捉手段と、前記補足されたセクタのデータを暗号化するデータ変換手段と、前記暗号化されたセクタのデータを前記暗号化されたデータのセクタに書き込むデータ書き込み手段と、を備える。
特許文献3には、仮想ファイルシステムドライバで管理されるセクタ情報に基づいて、オペレーティングシステムに対してボリュームファイルを対象とする仮想セクタ単位のデータの読み書きを行うにあたり、仮想セクタのセクタデータに対して暗号化を施して書き込みを行うとともに、読み込み時には復号化を行う仮想ディスクドライバが開示されている。
ファイル暗号化の場合、ファイルがどこにあっても暗号化された状態を維持する必要がある。また、権限のある利用者を識別し、権限のある利用者はファイルがどこで暗号化されたかに関わらず復号を行うことが求められる。そのため、図1に模式的に例示するように、復号に必要な暗号鍵や権限情報(「暗号付加情報」という)などを、暗号化データとともにファイルに格納することが一般的である。図1の例では、暗号化されたファイル(暗号化後のファイル)21には、ヘッダ、データ、フッタを暗号化した暗号化データ22とともに暗号付加情報23が格納されている。このため、暗号化前のファイル20と比べて、暗号化されたファイル21では、データが暗号化されているのみではなく、暗号付加情報23により、ファイルサイズが増加する。また、ファイルフォーマットが異なることとなる。
ファイルは任意のアプリケーション(例えば、メモ帳、Microsoft WORD等の文書作成ソフト等)で利用される。このため、ファイルサイズやファイルフォーマットが変化すると、任意のアプリケーションは、ファイルが開けないことや、(任意のアプリケーションから見た)ごみデータが表示されるなど、当該ファイルに関して意図した動作ができなくなる。そのため、任意のアプリケーションからみて、ファイルが暗号化されていることや暗号付加情報が付加されていることを意識させないことが必要である。なお、Microsoft WORDは米国Microsoft Corporation.の米国およびその他の国における登録商標又は商標である。
任意のアプリケーションがファイルにアクセスする場合には、例えば以下の手法がとられる。
・事前に、暗号化ファイル全体を復号し、
・暗号付加情報を削除した暗号化前のファイルを作成して、任意のアプリケーションから復号したファイルを参照させる。
・暗号付加情報を削除した暗号化前のファイルを作成して、任意のアプリケーションから復号したファイルを参照させる。
しかしながら、上記手法の場合、ファイルサイズが大きくなるに従い、データの復号にかかる時間が大きくなり、ファイルが開くまでの待ち時間が増加する。このため、利用者の利便性が低下する。
動画のストリーミング再生に代表されるような、データの一部を参照し動作可能なアプリケーションは特にこの影響が顕著である。これは、動画のストリーミング再生は、ファイルの全体ではなく一部だけを参照し動作するが、一部のデータを参照した場合でも、事前にファイル全体を参照し復号を行うことが必要なためである。データを暗号化しつつ、アプリケーションがアクセスしたデータを復号することについては、Windows OS(Operating System)に実装されているBitLockerなどのディスク暗号化技術が知られている。これは、ハードディスクのセクタ単位に暗号化を行い、アクセスしたデータだけ復号するため、オーバーヘッドが小さい。なお、Windows(Microsoft Windows Operating System)、BitLockerは米国Microsoft Corporation.の米国およびその他の国における登録商標又は商標である。
しかしながら、ディスク暗号化の場合、アプリケーションがデータを読み取る際には、復号される。このため、復号されたデータが漏れるために、ファイル暗号化の要件を満たさない。また、ファイルサイズが変わる場合に対応できないため、ファイル暗号化の特性には適さない状況である。
「情報セキュリティ10大脅威2018 2章 情報セキュリティ10大脅威組織編 2018年4月、独立行政法人 情報処理推進機構セキュリティセンター [2019年3月10日検索日]、 インターネット(URL:https://www.ipa.go.jp/files/000066223.pdf)
以下に関連技術の分析を与える。
ファイル全体を暗号化するファイル暗号化では、図2に例示するように、アプリケーション10が要求したデータの大小にかかわらず、暗号化されたファイル21の全体を復号した後、アプリケーション10は該当する復号済みデータ24を参照する。この場合、ファイル全体が平文とされ(図2のファイル20)、前述したように、情報漏洩等が問題となる。また、暗号化されたファイル21には、暗号付加情報が付加されており、アプリケーション10では、ファイルサイズが変わる場合に対応できないという問題もある。
特許文献3等では、該当端末から他端末へファイルが持ち出されると、復号されてしまう。また、暗号化前後でセクタに格納されるデータ内容が異なる可能性がある。
アプリケーションで読み込むデータだけを復号することで復号時の情報漏洩等を抑制し、任意のアプリケーションからはファイルが暗号化されていることや暗号付加情報が付加されていることを意識させない(これらの情報をアプリケーションから隠蔽可能とする)ファイル暗号化・復号手法の実現が望まれる。
本発明は、上記事情等を鑑みて創案されたものであって、その目的の一つは、暗号化ファイルの復号時の情報漏洩等を抑制し、ファイルが暗号化されていることや暗号付加情報が付加されていること等を、該ファイルのアクセスを行うアプリケーションに対して隠蔽可能とするファイル暗号化復号装置、方法、プログラムを提供することにある。
本発明のいくつかの形態の一つによれば、暗号化されたファイルに対して、アプリケーションから読み出し要求されたデータを読み出して復号し、復号したデータを前記アプリケーションに返す復号部と、前記アプリケーションからのファイル情報取得要求に対して、前記暗号化されたファイルの暗号化前のファイル情報を応答として前記アプリケーションに返すファイル情報取得部とを備えたファイル暗号化復号装置が提供される。
本発明の別の形態によれば、暗号化されたファイルに対して、アプリケーションから読み出し要求されたデータを読み出して復号し、復号したデータを前記アプリケーションに返し、
前記アプリケーションからのファイル情報取得要求に対して、前記暗号化されたファイルの暗号化前のファイル情報を応答として前記アプリケーションに返すファイル暗号化復号方法が提供される。
前記アプリケーションからのファイル情報取得要求に対して、前記暗号化されたファイルの暗号化前のファイル情報を応答として前記アプリケーションに返すファイル暗号化復号方法が提供される。
本発明のさらに別の形態によれば、暗号化されたファイルに対して、アプリケーションから読み出し要求されたデータを読み出して復号し、復号したデータを前記アプリケーションに返す処理と、前記アプリケーションからのファイル情報取得要求に対して、前記暗号化されたファイルの暗号化前のファイル情報を応答として前記アプリケーションに返す処理とをプロセッサに実行させるプログラムが提供される。
本発明のまたさらに別の形態によれば、上記プログラムを記憶した非一時的なコンピュータ可読媒体(non-transitory computer readable medium)(例えばRAM(Random Access Memory)、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable ROM))等の半導体ストレージや、HDD(Hard Disk Drive)、SSD(Solid State Drive)、CD(Compact Disc)、DVD(Digital Versatile Disc等)が提供される。
本発明によれば、ファイル復号時の情報漏洩等を抑制し、ファイルが暗号化されていることや暗号付加情報が付加されていること等を、該ファイルのアクセスを行うアプリケーションに対して隠蔽可能としている(すなわち、アプリケーションにファイルが暗号化されていることや暗号付加情報が付加されていることを意識させない)。
本発明の例示的な実施形態について説明する。例示的な実施形態では、図3に例示するように、ファイル暗号化復号装置100は、HDD(Hard Disk Drive)装置30のセクタ単位にファイルの暗号化を行う。なお、セクタは、HDD装置等のディスク装置のデータ書き込みの最小単位(例えば512バイト(Bytes))である。なお、HDD装置の大容量化に伴い、4K(Kilo)バイトセクタ(1セクタ:4096バイト)の製品もある。アプリケーション10は、HDD装置30のセクタ単位にデータを読み込む。アプリケーション10からの読み出し(READ)要求に対して、ファイル暗号化復号装置100は、HDD装置30において、読み出し要求されたデータ(セクタ)だけを復号し、アプリケーション10に読み出し要求の応答として返す(アプリケーション10で読み出されないデータ(セクタ)は復号しない)。
また、本発明の例示的な実施形態では、ファイル暗号化復号装置100は、図1に示したように、暗号付加情報によって、ファイルサイズが増えた場合においても、HDD装置30において、1つのセクタに格納されるデータの内容は暗号化前後で変化しないようにする考慮を行う。例えば暗号化されたファイルのn番目のセクタには、暗号化前のファイルのn番目のセクタを暗号化したものが保存される。これは、セクタに格納されるデータの内容が暗号化前と後で変化した場合、アプリケーション10がアクセスしたセクタのデータを復号した結果、アプリケーション10が本来アクセスしたいデータが含まれない場合があり得ることになり、アプリケーションが意図した動作を行えない可能性があるためである。
本発明の例示的な実施形態では、端末1上で動作するアプリケーション10(HDD装置30のファイルにアクセスする任意のアプリケーション)からは、
・ファイルが暗号化されていることや、
・暗号付加情報が付加されていること、
を意識させない。すなわち、ファイル暗号化復号装置100では、これらの情報を、アプリケーション10に対して隠蔽している。
・ファイルが暗号化されていることや、
・暗号付加情報が付加されていること、
を意識させない。すなわち、ファイル暗号化復号装置100では、これらの情報を、アプリケーション10に対して隠蔽している。
アプリケーション10からファイルの属性情報等のファイル情報取得要求が発行された場合、ファイル暗号化復号装置100は、例えばAPI(Application Programming Interface)のフック技術等を用いて、HDD装置30に暗号化されて格納されているファイルのファイル情報ではなく、暗号化前のファイル情報を応答としてアプリケーション10に返す。なお、APIフックは、モジュールの実行可能領域のインポートアドレスエントリ(Import Address Table)を書き替えることで、ライブラリ関数やAPI関数の呼び出しを別の関数呼び出しに差し替える。
また、本発明の例示的な実施形態によれば、ファイル暗号化復号装置100は、アプリケーション10毎にファイルの復号要否を判断することで、アプリケーションが動作する端末外にファイルを持ち出す場合においても、ファイルを復号せずに暗号化したまま持ち出すことが可能となる。
上記したように、本発明の例示的な実施形態によれば、ファイルの情報漏洩等を抑制し、ファイルが暗号化されていることや暗号化ファイルに暗号付加情報が付加されていることを、当該ファイルのアクセスを行うアプリケーションに対して、隠蔽可能としている(アプリケーションにファイルが暗号化されていることや、暗号付加情報が付加されていることを意識させない)。以下、図面を参照して、本発明の例示的な実施形態についてさらに詳細に説明する。
図4は、本発明の例示的な実施形態の装置構成を模式的に示す図である。図4を参照すると、ファイル暗号化復号装置100は、ファイル情報取得部101と、暗号化部102と、暗号付加情報格納部103と、ファイルオープン検知部104と、復号アプリケーション確認部105と、暗号化確認部106と、ファイル読込検知部107と、復号部108と、ファイル情報取得検知部109と、暗号付加情報取得部110と、ファイル書込検知部111を備えている。
図4を参照すると、ファイル暗号化復号装置100は大きく2つの装置に分類することができる。
1つは、ファイルを暗号化する処理に関するものであり、ファイル情報取得部101、暗号化部102、暗号付加情報格納部103からなる。
他の1つは、任意のアプリケーションでの暗号化ファイルに対する処理に関するものであり、ファイルオープン検知部104、復号アプリケーション確認部105、暗号化確認部106、ファイル読込検知部107、復号部108、ファイル情報取得検知部109、暗号付加情報取得部110、ファイル書込検知部111からなる。
暗号化は、ユーザの操作または予め設定された実行スケジュールをトリガに動作する。暗号化が開始すると、ファイル情報取得部101は暗号化するファイルのファイルサイズを取得する。
ファイル情報取得部101は、アプリケーション10からの所定のファイル情報取得要求(例えばファイルサイズ取得要求)に対して、暗号化されたファイルの暗号化前のファイル情報(例えばファイルサイズ)を応答としてアプリケーション10に返す。なお、ファイル情報(属性情報)として、暗号化してデータのセキュリティを保護する暗号化属性等を含む場合、アプリケーション10からのファイル情報(属性)の取得要求に対して、暗号化前のファイルの暗号化属性情報(暗号化されていない)を返すようにしてもよい。
暗号化部102は、ファイルデータの暗号化を行う。
本実施形態において、暗号化は、アプリケーション10が動作する端末1に接続されたHDD装置30のセクタサイズではなく、512バイト(最小セクタサイズ)毎に行う。
これは、HDD装置30のセクタサイズには512バイトや4Kバイトなど複数存在しており、暗号化したファイルは暗号化を行った端末1の環境以外でもファイルを復号する必要があるためである。本実施形態によれば、セクタサイズ4Kバイトの環境で暗号化したファイルを、セクタサイズが512バイトの環境でも復号することが可能となる。
暗号付加情報格納部103は、暗号化したデータに、
・暗号化に使用した鍵情報、
・元のファイルサイズ(暗号化前のファイルのファイルサイズ)
等を含む任意の暗号化情報(図1の23)を付加し、ファイルとして保存する。なお、暗号付加情報は、例えば、図1に例示したように、暗号化したデータの末尾に付与するようにしてもよい。以上で、暗号化ファイルが作成される。
・暗号化に使用した鍵情報、
・元のファイルサイズ(暗号化前のファイルのファイルサイズ)
等を含む任意の暗号化情報(図1の23)を付加し、ファイルとして保存する。なお、暗号付加情報は、例えば、図1に例示したように、暗号化したデータの末尾に付与するようにしてもよい。以上で、暗号化ファイルが作成される。
暗号化されてHDD装置30に記憶されているファイルの復号処理は、任意のアプリケーション10がファイル(暗号化ファイル又は未暗号化ファイル)にアクセスしたことをトリガに動作する。
ファイルオープン検知部104は、アプリケーション10がファイルをオープンしたことを検知する。ファイルのオープンの検知は、ファイルシステムドライバなどでCreateFile命令またはこれに類する命令を検知することで行うようにしてもよい。この場合、APIフック等の技術を用いてアプリケーション10に介入して検知するようにしてもよい。
ファイルオープン検知部104でファイルオープンの検知後、復号アプリケーション確認部105に対して、データを復号して返すアプリケーションであるか確認実行の命令(コマンド)を発行する。
復号アプリケーション確認部105は、ファイルにアクセスしたアプリケーション10が、暗号化されたファイルのデータを復号して返すアプリケーション10であるか否かを確認する。なお、読み出し要求された暗号化されたファイルに関して、ファイル暗号化復号装置100がデータの復号を行って返却するアプリケーション10については、例えば端末1の利用者が、ファイル暗号化復号装置100に対して、該端末1の画面から予め設定しておくようにしてもよい。暗号化されたファイルのデータを復号して返すアプリケーション10について、例えば、アプリケーション名、パス名、ID等を、ファイル暗号化復号装置100内の記憶部に事前に設定登録しておく。
復号アプリケーション確認部105は、ファイルに読み出し要求を行ったアプリケーション10が、復号対象のアプリケーションであった場合、暗号化確認部106に対して暗号化確認実行の命令(コマンド)を発行する。
暗号化確認部106は、復号アプリケーション確認部105からの命令を受け、アクセスが行われたファイルが暗号化されているか否かを確認する。
ファイルが暗号化されているか否かの確認は、例えば、
・ファイルのフォーマットから確認する、
・暗号付加情報から確認する
等で行うようにしてもよい。
・ファイルのフォーマットから確認する、
・暗号付加情報から確認する
等で行うようにしてもよい。
暗号化確認部106は、ファイルが暗号化されていることを確認した場合、以降、このファイルに対して、例えば、
・ファイル読込検知部107が、当該復号対象のアプリケーション10によるファイルの読込みを検知した場合、
・ファイル情報取得検知部109が、当該アプリケーション10によるファイル情報の取得を検知した場合、
・ファイル書込検知部111が、当該アプリケーション10によるファイル書き込みを検知した場合に、
暗号化されたファイルへのアクセスであると判断して動作する。
・ファイル読込検知部107が、当該復号対象のアプリケーション10によるファイルの読込みを検知した場合、
・ファイル情報取得検知部109が、当該アプリケーション10によるファイル情報の取得を検知した場合、
・ファイル書込検知部111が、当該アプリケーション10によるファイル書き込みを検知した場合に、
暗号化されたファイルへのアクセスであると判断して動作する。
ファイル読込検知部107は、当該アプリケーション10がファイルを読み込んだことを検知する。この検知は、ファイルシステムドライバ等でReadFile命令またはこれに類する命令を検知することで行うようにしてもよい。例えば、APIフック等の技術を用いてアプリケーション10に介入して検知するようにしてもよい。
暗号化確認部106で、暗号化されたファイルへのアクセスであると判断されていた場合は、検知後、復号部108に対して、復号の実行の命令(指示)を発行する。
なお、復号部108では、アプリケーション10が読み出し要求(例えばReadFile命令)で読み込もうとしているデータのオフセットが、暗号化前のファイルサイズを超えた場合には、それ以上はデータを読み込まず、ファイル終端(End Of File:EOF)をアプリケーション10に返却する。
復号部108は、暗号付加情報取得部110で取得した鍵情報を使って、512バイト毎にデータを復号する。
ファイル情報取得検知部109は、アプリケーション10が例えばファイル属性として、ファイルサイズを取得したことを検知する。この検知は、APIフック等の技術を用いてアプリケーション10に介入し、例えばGetFileSize命令またはこれに類する命令を検知するようにしてもよい。
ファイル情報取得検知部109は、暗号化確認部106で暗号化されたファイルへのアクセスであると判断されていた場合は、その検知後、暗号付加情報取得部110で取得した暗号化前のファイルサイズ情報をアプリケーション10に返却する。
暗号付加情報取得部110は、暗号化ファイルに付与された、
・暗号化に使用した鍵情報、
・元ファイルサイズ
等の情報を取得する。
・暗号化に使用した鍵情報、
・元ファイルサイズ
等の情報を取得する。
ファイル書込検知部111は、アプリケーション10がファイルを書き込んだことを検知する。この検知は、ファイルシステムドライバなどで、例えばWriteFile命令またはこれに類する命令を検知するようにしてもよい。あるいは、例えばAPIフック等の技術を用いてアプリケーション10に介入して検知する方法を用いてもよい。
暗号化確認部106で暗号化されたファイルへのアクセス(書き込みアクセス)であると判断された場合に、ファイル情報取得部101、暗号化部102、暗号付加情報格納部103に指示して、暗号化データをファイルに書き込む。
図5は、本発明の例示的な実施形態において、ファイル暗号化復号装置100でファイルを暗号化する処理手順の一例を説明する流れ図である。
ファイル情報取得部101は、暗号化前のファイルのファイルサイズを取得する(ステップS1)。
暗号化部102は、ファイルのデータを512バイト単位に暗号化する。これをファイル終端(EOF)まで繰り返すことで、ファイル全体を暗号化する(ステップS2、S3)。
暗号付加情報格納部103は、暗号化に使用した鍵情報と、暗号化前のファイルのファイルサイズとをファイル末尾に付与する(ステップS4)。すなわち、暗号付加情報格納部103は、ステップS1で取得したファイルサイズの情報、および、ステップS2で暗号化に利用した鍵の情報をファイル末尾に付与する。
図6は、本発明の例示的な実施形態におけるファイルオープンの処理手順の一例を説明する図である。アプリケーション10がファイルをオープンする命令(例えばe命令)を実行した場合、ファイルオープン検知部104でアプリケーション10がファイルオープンしたことを検知し(ステップS11)、以下の処理が行われる。
復号アプリケーション確認部105は、復号を行うべきアプリケーションとして予め設定されたアプリケーション10からのファイルアクセス要求であるか否かを確認する(ステップS12)。
復号アプリケーション確認部105で復号を行うべきアプリケーション10と判断されなかった場合(ステップS12のNo分岐)、暗号化確認部106による確認処理(ステップS13)は行わない。
復号アプリケーション確認部105で復号を行うべきアプリケーション10であることが確認された場合(ステップS12のYes分岐)、暗号化確認部106は、ファイルが暗号化されているか否か確認する(ステップS13)。ここで、暗号化されていないと判断された場合(ステップS13のNo分岐)、ステップS14の処理は行わない。
ステップS14において、暗号化確認部106は、暗号化されたファイルであることを不図示の記憶部に記憶する。また、暗号化確認部106は、当該ファイルの暗号化状態を毎回確認しないで済むように、ステップS15以降で、復号処理が必要であるか否かを不図示の記憶部に記録するようにしてもよい。
アプリケーション10からの処理要求に応じて分岐する(ステップS15)。
ステップS15において、アプリケーション10からの処理要求がファイルの読み込みの場合、図7の結合子1に分岐する。図7において、ファイル読込検知部107において、アプリケーション10がファイルの読み込み要求を発行したことを検知すると(ステップS21)、以下の処理が実行される。
暗号化確認部106は、ステップS14で記録した情報を参照して、ファイルが暗号化されているかを確認する(ステップS22)。
ファイルが暗号化されている場合(ステップS22のYes分岐)、暗号付加情報取得部110は、暗号付加情報を取得する(暗号化に使用した鍵情報、暗号前の(元の)ファイルのファイルサイズ)(ステップS23)。
読み出しデータのオフセットが元のファイルサイズ(暗号化前のファイルサイズ)の範囲内であるか否か判定する(ステップS24)。読み出しデータのオフセットの初期値は、アプリケーション10からの読み出し要求で指定されてもよい。このオフセットの初期値は、読み出しを開示するファイルの位置(読み出し範囲の開始位置)に対応する(開始位置は論理アドレスであってもよい)。例えばアプリケーション10が文書の閲覧、編集(作成)、変換等を行うソフトウェアの場合、アプリケーション10では、読み出し対象の頁や頁内の一部に対応する読み出し範囲の開始位置(論理アドレス)を、読み出しデータの開始位置(オフセットの初期値)として、読み出し要求の引数に設定してもよい。読み出し範囲の終了位置は、読み出し要求で指定される読み出しバイト数を、開始位置に加算した値とされる。
読み出しデータのオフセットは、図7のステップS24~26のループで、復号されたデータ(セクタ)のサイズである512バイト単位に加算されていく。なお、ファイル暗号化復号装置100を、HDD装置30(図3参照)のコントローラ等に実装し、復号部108では、アプリケーション10からのREAD要求で指定されたデータの論理アドレスを、物理的なセクタ番号(セクタ番号)に変換してセクタ単位に読み出しを行うようにしてもよい。
読み出しデータが元のファイルサイズ(暗号化前のファイルのファイルサイズ)の範囲内である場合(ステップS24のYes分岐)、復号部108は、暗号化に使用した鍵情報を用いて、アプリケーション10がアクセス対象のデータを512バイト毎に復号する(ステップS25)。なお、暗号化部102と復号部108は、暗号化、復号を同じ鍵を使って行う共通鍵暗号方式を用いてもよい。
復号部108において、復号すべきデータがまだある場合(ステップS26のYes分岐)、ステップS24に戻る。すなわち、ステップS25でデータを復号し512バイト加算した結果、読み出しデータのオフセットが、暗号化されたファイルから読み出すデータの読み出し範囲の終了位置未満の場合、ステップS24に戻る。
復号部108において復号すべきデータがない場合(ステップS26のNo分岐)、すなわち、ステップS25でデータを復号し512バイト加算した結果、読み出しデータのオフセットが、暗号化されたファイルから読み出すデータの読み出し範囲の終了位置以上の場合、復号部108は、復号したデータをアクセス要求元のアプリケーション10へ返却する。
ステップS24の判定の結果、読み出しデータのオフセットが暗号化前ファイルサイズを超えた場合(ステップS24のNo分岐)、復号部108は、ファイル終端(EOF)を付加し(ステップS28)、復号したデータをアクセス要求元のアプリケーション10へ返却する(ステップS27)。なお、読み出しデータのオフセットを、読み出し対象のデータの論理アドレスとした場合、ステップS24において、読み出したセクタのデータを復号し、512バイト加算した読み出しデータのオフセットが読み出し範囲の終了位置に対応する論理アドレスに達しないため、ステップS24に戻ったが、読み出しデータのオフセットが、ファイルの先頭から元のファイルサイズ分加算した論理アドレスよりも大である場合、復号部108では、ステップS28に分岐して、ファイル終端(EOF)を付加するようにしてもよい。
ステップS22において、ファイルが暗号化されていない場合(ステップS22のNo分岐)、読み出したデータをそのままアプリケーション10に返却する(ステップS29。
図7において、ステップS27、S29の処理ののち、図6の結合子4(ステップS15)に移る。
図6のステップS15において、アプリケーション10からの要求がファイルサイズ取得要求の場合、図8の結合子2に分岐する。図8において、ファイル情報取得検知部109が、アプリケーション10がファイルサイズ取得要求を発行したことを検知すると(ステップS31)。以下の処理が行われる。
暗号化確認部106は、図6のステップS14で記録した情報を参照して、アプリケーション10からのファイルサイズ取得要求で指定されたファイルが暗号化されているかを確認する(ステップS32)。
アプリケーション10からのファイルサイズ取得要求で指定されたファイルが暗号化されている場合(ステップS32のYes分岐)、暗号付加情報取得部110は、ファイルサイズ取得要求で指定されたファイルの暗号化前のファイルサイズ(元のファイルサイズ)を取得する(ステップS33)。
ファイル情報取得部101は、取得した暗号化前のファイルサイズをアプリケーション10に返却する(ステップS34)。
ファイルサイズ取得要求で指定されたファイルが暗号化されていない場合(ステップS32のNo分岐)、ファイルサイズ取得要求で指定されたファイルのファイルサイズをそのまま返却する(ステップS35)。
図6のステップS15において、アプリケーション10からの要求がファイル書き込み要求の場合、図9の結合子3に分岐する。図9において、ファイル書込検知部111でアプリケーション10がファイル書き込み要求(WRITE)を発行したことを検知すると(ステップS41)、以下の処理が実行される。
データ書き込み対象のファイル(図6のステップS11でオープンしたファイル)が暗号化されている場合(ステップS42のYes分岐)、暗号化部102は、アプリケーション10がファイル書き込み要求で指定したデータを512バイト毎に暗号化してファイルに書き込む(ステップS43)。ステップS42において、ファイルが暗号化されているか否かは、暗号化確認部106で確認してもよい。この場合、暗号化確認部106は、図6のステップS14で記録した情報を参照して、データ書き込み対象のファイルが、暗号化されているか否かを確認するようにしてもよい。ステップS43では、図5を参照して説明した処理が行われる。このため、ステップS43の説明は省略する。
データ書き込み対象のファイルが暗号化されていない場合(ステップS42のNo分岐)、アプリケーション10がファイル書き込み要求で指定したデータをそのままファイルに書き込む(ステップS44)。
なお、データ又は暗号化データのファイルへの書き込みは、ファイルの新規作成のほか、データの変更や追記(追加)等であってもよい。ファイルデータの変更(修正)は、暗号化されたファイルから変更対象のデータを含むセクタを読み出してセクタ単位に復号し修正箇所を変更データ(平文)で置き換えた上で当該セクタを暗号化して書き込むようにしてもよい。追記の場合、暗号化されたファイルのデータの最後に暗号化データが追加される。変更(修正)、追記等の場合、暗号付加情報(図1の23)は、変更(修正)、追記の内容を反映した暗号前のファイルのファイルサイズに更新される。
本実施形態によれば、ファイル暗号化のメリットを維持したまま、ファイルが開くまでの待ち時間を減らすことができ、利用者の利便性が向上することが可能となる。
本実施形態において、暗号付加情報(図1の23)はファイルの末尾に付けたが、ファイルの先頭に付加するようにしてもよい。この場合、暗号付加情報は必ず512バイトの倍数のサイズとし、アプリケーション10がアクセスしたオフセットから暗号付加情報のサイズ(512バイトの倍数)分、オフセットをずらしてアクセスさせることで、同様の機能が実現可能となる。
本実施形態において、ファイル情報取得部101は、ファイル情報として、元にファイルサイズをアプリケーション10に返しているが、当該ファイルの他の属性情報(例えば暗号化属性やファイルフォーマット等)の問い合わせに対して、暗号化前のファイルの属性情報(暗号化前の暗号化属性情報やファイルフォーマット)をアプリケーション10に返すようにしてもよい。
図10は、図4のファイル暗号化復号装置100をコンピュータ装置(情報処理装置)200で構成した例を説明する図である。コンピュータ装置200は、プロセッサ201、メモリ202、表示装置203、I/Oインタフェース204と、HDD装置(図3の30)等のストレージ205を備えている。
メモリ202は、プロセッサ201で実行させるプログラム(命令群(instructions)、データ)210を記憶している。メモリ202は、例えばRAM(Random Access Memory)、ROM(Read Only Memory)、又は、EEPROM(Electrically Erasable and Programmable ROM)等の半導体メモリであってもよいし、あるいは、HDD(Hard Disk Drive)、SSD(Solid State Drive)、USB(Universal Serial Bus)、CD(Compact Disc)、DVD(Digital Versatile Disc)等であってもよい。
I/Oインタフェース204は、HDD装置(図3の30)等のストレージ205へのデータアクセス用のインタフェースを含む。プロセッサ201は複数のプロセッサ構成(マルチプロセッサ)であってもよい。プロセッサ201がプログラム210を読み出して実行することで、上記実施形態のファイル暗号化復号装置100を実現するようにしてもよい。プロセッサ201上で上記実施形態のアプリケーション10を実行するようにしてもよい。I/Oインタフェース204に加えて通信インタフェース等を備えた構成としてもよい。
プログラム210は、例えば図11に示すプログラムモジュールを含む。復号モジュール211は、暗号化されたファイルに対して、アプリケーション10からの読み出し要求で指定されたデータを読み出して復号し、復号したデータを読み出し要求の応答としてアプリケーション10に返す処理を行うプログラムモジュールである。ファイル情報取得モジュール212は、アプリケーション10から、ファイル情報の取得要求(例えばファイルサイズ取得要求)に対して、暗号化されたファイルの暗号化前のファイル情報を応答としてアプリケーション10に返す処理を行うプログラムモジュールである。さらに、アプリケーション10からのファイル書き込み要求に応じて所定のサイズのデータ毎に暗号化し、鍵情報、元のファイルサイズ情報を暗号付加情報としてストレージに格納するプログラムモジュールを備えてもよい。復号モジュール211は、ストレージからの読み出しデータのオフセットが、元のファイルサイズを超えた場合、読み出して復号したデータにファイルの終端を付加してアプリケーション10に返すようにしてもよい。
なお、端末1は、PC(Personal Computer)等の情報処理端末装置、携帯端末、データ/ファイルの暗号化が行われるIoT(Internet of Things)機器等であってもよい。ファイル暗号化復号装置100はハードディスクコントローラ側等に実装するようにしてもよい。
なお、上記実施形態では、暗号化されたファイルを格納するストレージとしてHDD装置30を例に説明したが、ストレージはHDD装置に制限されるものでなく、例えばSSD(Solid State Drive)やリード/ライト光ディスク等に対しても適用可能である。
上記実施形態は、セキュリティ、標的型攻撃対策、ランサムウェア対策、DRM(Digital Right Management)、コンテンツセキュリティ対策、ファイル暗号等の分野に適用可能である。
なお、上記の特許文献1-3、非特許文献1の各開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素(各請求項の各要素、各実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ乃至選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
上記した実施形態は以下のように付記される(ただし以下に制限されない)。
(付記1)
暗号化されたファイルに対して、アプリケーションから読み出し要求されたデータを読み出して復号し、復号したデータを前記アプリケーションに返す復号部と、
前記アプリケーションからのファイル情報取得要求に対して、前記暗号化されたファイルの暗号化前のファイル情報を応答として前記アプリケーションに返すファイル情報取得部と、
を含む、ことを特徴とするファイル暗号化復号装置。
暗号化されたファイルに対して、アプリケーションから読み出し要求されたデータを読み出して復号し、復号したデータを前記アプリケーションに返す復号部と、
前記アプリケーションからのファイル情報取得要求に対して、前記暗号化されたファイルの暗号化前のファイル情報を応答として前記アプリケーションに返すファイル情報取得部と、
を含む、ことを特徴とするファイル暗号化復号装置。
(付記2)
前記アプリケーションからのファイル書き込み要求に対して、データを所定のサイズ毎に暗号化し、鍵情報及び暗号化前の元のファイルサイズ情報を含む暗号付加情報を、暗号化データとともに、ストレージに格納する暗号化部をさらに含む、ことを特徴とする付記1に記載のファイル暗号化復号装置。
前記アプリケーションからのファイル書き込み要求に対して、データを所定のサイズ毎に暗号化し、鍵情報及び暗号化前の元のファイルサイズ情報を含む暗号付加情報を、暗号化データとともに、ストレージに格納する暗号化部をさらに含む、ことを特徴とする付記1に記載のファイル暗号化復号装置。
(付記3)
前記ファイル情報取得部は、前記ファイル情報取得要求として、ファイルサイズ情報の取得要求を受けると、前記暗号付加情報に含まれる前記元のファイルサイズ情報を取得して、前記アプリケーションに返す、ことを特徴とする付記2に記載のファイル暗号化復号装置。
前記ファイル情報取得部は、前記ファイル情報取得要求として、ファイルサイズ情報の取得要求を受けると、前記暗号付加情報に含まれる前記元のファイルサイズ情報を取得して、前記アプリケーションに返す、ことを特徴とする付記2に記載のファイル暗号化復号装置。
(付記4)
前記復号部は、前記暗号化されたファイルに対する前記読み出し要求に対してデータ読み出しの開始位置からデータを読み出して所定のサイズ毎に復号し、復号の都度、前記所定のサイズを前記開始位置に加算していき、加算結果がデータ読み出しの終了位置に達した場合、復号したデータを前記アプリケーションに返し、一方、前記加算結果が前記終了位置に達する前に、前記暗号化前の元のファイルサイズを超えた場合、復号したデータにファイル終端を付加して前記アプリケーションに返す、ことを特徴とする付記2又は3に記載のファイル暗号化復号装置。
前記復号部は、前記暗号化されたファイルに対する前記読み出し要求に対してデータ読み出しの開始位置からデータを読み出して所定のサイズ毎に復号し、復号の都度、前記所定のサイズを前記開始位置に加算していき、加算結果がデータ読み出しの終了位置に達した場合、復号したデータを前記アプリケーションに返し、一方、前記加算結果が前記終了位置に達する前に、前記暗号化前の元のファイルサイズを超えた場合、復号したデータにファイル終端を付加して前記アプリケーションに返す、ことを特徴とする付記2又は3に記載のファイル暗号化復号装置。
(付記5)
前記読み出し要求に対してデータを復号して返す1つ又は複数のアプリケーションを記憶部に予め設定しておき、
前記アプリケーションからの読み出し要求に対して、前記アプリケーションが前記記憶部に設定されたアプリケーションであるか確認し、
前記記憶部に設定されたアプリケーションであることを確認すると、前記読み出し要求で指定されたファイルが暗号化されているか否かを確認し、
暗号化されている場合、前記復号部に対して、復号を指示する暗号化確認部を備えた、ことを特徴とする付記2乃至4のいずれかに記載のファイル暗号化復号装置。
前記読み出し要求に対してデータを復号して返す1つ又は複数のアプリケーションを記憶部に予め設定しておき、
前記アプリケーションからの読み出し要求に対して、前記アプリケーションが前記記憶部に設定されたアプリケーションであるか確認し、
前記記憶部に設定されたアプリケーションであることを確認すると、前記読み出し要求で指定されたファイルが暗号化されているか否かを確認し、
暗号化されている場合、前記復号部に対して、復号を指示する暗号化確認部を備えた、ことを特徴とする付記2乃至4のいずれかに記載のファイル暗号化復号装置。
(付記6)
前記所定のサイズは、前記ストレージのセクタサイズに対応する付記2乃至5のいずれかに記載のファイル暗号化復号装置。
前記所定のサイズは、前記ストレージのセクタサイズに対応する付記2乃至5のいずれかに記載のファイル暗号化復号装置。
(付記7)
付記1乃至6のいずれかに記載のファイル暗号化復号装置と、
所定のサイズのセクタ単位に読み書きが行われるストレージと、
前記ストレージに対して、前記ファイル暗号化復号装置を介して、読み出し、書き込み、ファイル情報取得の少なくとも1つを行う、少なくとも1つのアプリケーションと、
を備えた、ことを特徴とする情報処理装置。
付記1乃至6のいずれかに記載のファイル暗号化復号装置と、
所定のサイズのセクタ単位に読み書きが行われるストレージと、
前記ストレージに対して、前記ファイル暗号化復号装置を介して、読み出し、書き込み、ファイル情報取得の少なくとも1つを行う、少なくとも1つのアプリケーションと、
を備えた、ことを特徴とする情報処理装置。
(付記8)
暗号化されたファイルに対して、アプリケーションから読み出し要求されたデータを読み出して復号し、復号したデータを前記アプリケーションに返し、
前記アプリケーションからのファイル情報取得要求に対して、前記暗号化されたファイルの暗号化前のファイル情報を応答として前記アプリケーションに返す、ことを特徴とするファイル暗号化復号方法。
暗号化されたファイルに対して、アプリケーションから読み出し要求されたデータを読み出して復号し、復号したデータを前記アプリケーションに返し、
前記アプリケーションからのファイル情報取得要求に対して、前記暗号化されたファイルの暗号化前のファイル情報を応答として前記アプリケーションに返す、ことを特徴とするファイル暗号化復号方法。
(付記9)
前記アプリケーションからのファイル書き込み要求に応じて前記所定のサイズのデータ毎に暗号化し、鍵情報及び暗号化前の元のファイルサイズ情報を含む暗号付加情報を、暗号化データとともにストレージに格納する付記8に記載のファイル暗号化復号方法。
前記アプリケーションからのファイル書き込み要求に応じて前記所定のサイズのデータ毎に暗号化し、鍵情報及び暗号化前の元のファイルサイズ情報を含む暗号付加情報を、暗号化データとともにストレージに格納する付記8に記載のファイル暗号化復号方法。
(付記10)
前記ファイル情報取得要求として、ファイルサイズ情報の取得要求を受けると、前記暗号付加情報に含まれる前記元のファイルサイズ情報を取得して、前記アプリケーションに返す、ことを特徴とする付記9に記載のファイル暗号化復号方法。
前記ファイル情報取得要求として、ファイルサイズ情報の取得要求を受けると、前記暗号付加情報に含まれる前記元のファイルサイズ情報を取得して、前記アプリケーションに返す、ことを特徴とする付記9に記載のファイル暗号化復号方法。
(付記11)
前記暗号化されたファイルに対する前記読み出し要求に対してデータ読み出しの開始位置からデータを読み出して所定のサイズ毎に復号し、復号の都度、前記所定のサイズを前記開始位置に加算していき、加算結果がデータ読み出しの終了位置に達した場合、復号したデータを前記アプリケーションに返し、一方、前記加算結果が前記終了位置に達する前に、前記暗号化前の元のファイルサイズを超えた場合、復号したデータにファイル終端を付加して前記アプリケーションに返す、ことを特徴とする付記9又は10に記載のファイル暗号化復号方法。
前記暗号化されたファイルに対する前記読み出し要求に対してデータ読み出しの開始位置からデータを読み出して所定のサイズ毎に復号し、復号の都度、前記所定のサイズを前記開始位置に加算していき、加算結果がデータ読み出しの終了位置に達した場合、復号したデータを前記アプリケーションに返し、一方、前記加算結果が前記終了位置に達する前に、前記暗号化前の元のファイルサイズを超えた場合、復号したデータにファイル終端を付加して前記アプリケーションに返す、ことを特徴とする付記9又は10に記載のファイル暗号化復号方法。
(付記12)
前記読み出し要求に対してデータを復号して返す1つ又は複数のアプリケーションを記憶部に予め設定しておき、
前記アプリケーションからの読み出し要求に対して、前記アプリケーションが前記記憶部に設定されたアプリケーションであるか確認し、
前記記憶部に設定されたアプリケーションであることを確認すると、前記読み出し要求で指定されたファイルが暗号化されているか否かを確認し、
暗号化されている場合、前記復号部に対して、復号を指示する、ことを特徴とする付記9乃至11のいずれかに記載のファイル暗号化復号方法。
前記読み出し要求に対してデータを復号して返す1つ又は複数のアプリケーションを記憶部に予め設定しておき、
前記アプリケーションからの読み出し要求に対して、前記アプリケーションが前記記憶部に設定されたアプリケーションであるか確認し、
前記記憶部に設定されたアプリケーションであることを確認すると、前記読み出し要求で指定されたファイルが暗号化されているか否かを確認し、
暗号化されている場合、前記復号部に対して、復号を指示する、ことを特徴とする付記9乃至11のいずれかに記載のファイル暗号化復号方法。
(付記13)
前記所定のサイズは、前記ストレージのセクタサイズに対応する付記9乃至12のいずれかに記載のファイル暗号化復号方法。
前記所定のサイズは、前記ストレージのセクタサイズに対応する付記9乃至12のいずれかに記載のファイル暗号化復号方法。
(付記14)
暗号化されたファイルに対して、アプリケーションから読み出し要求されたデータを読み出して復号し、復号したデータを前記アプリケーションに返す復号処理と、
前記アプリケーションからのファイル情報取得要求に対して、前記暗号化されたファイルの暗号化前のファイル情報を応答として前記アプリケーションに返すファイル情報取得処理と、
をプロセッサに実行させるプログラム。
暗号化されたファイルに対して、アプリケーションから読み出し要求されたデータを読み出して復号し、復号したデータを前記アプリケーションに返す復号処理と、
前記アプリケーションからのファイル情報取得要求に対して、前記暗号化されたファイルの暗号化前のファイル情報を応答として前記アプリケーションに返すファイル情報取得処理と、
をプロセッサに実行させるプログラム。
(付記15)
前記アプリケーションからのファイル書き込み要求に応じて前記所定のサイズのデータ毎に暗号化し、鍵情報及び暗号化前の元のファイルサイズ情報を含む暗号付加情報を、暗号化データとともにストレージに格納する暗号化処理をさら前記プロセッサに実行させる付記14に記載のプログラム。
前記アプリケーションからのファイル書き込み要求に応じて前記所定のサイズのデータ毎に暗号化し、鍵情報及び暗号化前の元のファイルサイズ情報を含む暗号付加情報を、暗号化データとともにストレージに格納する暗号化処理をさら前記プロセッサに実行させる付記14に記載のプログラム。
(付記16)
前記ファイル情報取得部処理は、前記ファイル情報取得要求として、ファイルサイズ情報の取得要求を受けると、前記暗号付加情報に含まれる前記元のファイルサイズ情報を取得して、前記アプリケーションに返す、付記15に記載のプログラム。
前記ファイル情報取得部処理は、前記ファイル情報取得要求として、ファイルサイズ情報の取得要求を受けると、前記暗号付加情報に含まれる前記元のファイルサイズ情報を取得して、前記アプリケーションに返す、付記15に記載のプログラム。
(付記17)
前記復号処理は、前記暗号化されたファイルに対する前記読み出し要求に対してデータ読み出しの開始位置からデータを読み出して所定のサイズ毎に復号し、復号の都度、前記所定のサイズを前記開始位置に加算していき、加算結果がデータ読み出しの終了位置に達した場合、復号したデータを前記アプリケーションに返し、一方、前記加算結果が前記終了位置に達する前に、前記暗号化前の元のファイルサイズを超えた場合、復号したデータにファイル終端を付加して前記アプリケーションに返す、付記15又は16に記載のプログラム。
前記復号処理は、前記暗号化されたファイルに対する前記読み出し要求に対してデータ読み出しの開始位置からデータを読み出して所定のサイズ毎に復号し、復号の都度、前記所定のサイズを前記開始位置に加算していき、加算結果がデータ読み出しの終了位置に達した場合、復号したデータを前記アプリケーションに返し、一方、前記加算結果が前記終了位置に達する前に、前記暗号化前の元のファイルサイズを超えた場合、復号したデータにファイル終端を付加して前記アプリケーションに返す、付記15又は16に記載のプログラム。
(付記18)
前記読み出し要求に対してデータを復号して返す1つ又は複数のアプリケーションを記憶部に予め設定しておく処理と、
前記アプリケーションからの読み出し要求に対して、前記アプリケーションが前記記憶部に設定されたアプリケーションであるか確認し、
前記記憶部に設定されたアプリケーションであることを確認すると、前記読み出し要求で指定されたファイルが暗号化されているか否かを確認し、
暗号化されている場合、前記復号部に対して、復号を指示する暗号化確認処理と、
をさら前記プロセッサに実行させる付記2乃至4のいずれかに記載のファイル暗号化復号装置。
前記読み出し要求に対してデータを復号して返す1つ又は複数のアプリケーションを記憶部に予め設定しておく処理と、
前記アプリケーションからの読み出し要求に対して、前記アプリケーションが前記記憶部に設定されたアプリケーションであるか確認し、
前記記憶部に設定されたアプリケーションであることを確認すると、前記読み出し要求で指定されたファイルが暗号化されているか否かを確認し、
暗号化されている場合、前記復号部に対して、復号を指示する暗号化確認処理と、
をさら前記プロセッサに実行させる付記2乃至4のいずれかに記載のファイル暗号化復号装置。
(付記19)
前記所定のサイズは、前記ストレージのセクタサイズに対応する付記15乃至18のいずれかに記載のプログラム。
前記所定のサイズは、前記ストレージのセクタサイズに対応する付記15乃至18のいずれかに記載のプログラム。
1 端末
10 アプリケーション
20 暗号化前ファイル
21 暗号化ファイル
22 暗号化データ
23 暗号付加情報
24 復号済みデータ
30 HDD装置
100 ファイル暗号化復号装置
101 ファイル情報取得部
102 暗号化部
103 暗号付加情報格納部
104 ファイルオープン検知部
105 復号アプリケーション確認部
106 暗号化確認部
107 ファイル読込検知部
108 復号部
109 ファイル情報取得検知部
110 暗号付加情報取得部
111 ファイル書込検知部
200 コンピュータ装置
201 プロセッサ
202 メモリ
203 表示装置
204 I/Oインタフェース
205 ストレージ(HDD装置)
210 プログラム
211 復号モジュール
212 ファイル情報取得モジュール
10 アプリケーション
20 暗号化前ファイル
21 暗号化ファイル
22 暗号化データ
23 暗号付加情報
24 復号済みデータ
30 HDD装置
100 ファイル暗号化復号装置
101 ファイル情報取得部
102 暗号化部
103 暗号付加情報格納部
104 ファイルオープン検知部
105 復号アプリケーション確認部
106 暗号化確認部
107 ファイル読込検知部
108 復号部
109 ファイル情報取得検知部
110 暗号付加情報取得部
111 ファイル書込検知部
200 コンピュータ装置
201 プロセッサ
202 メモリ
203 表示装置
204 I/Oインタフェース
205 ストレージ(HDD装置)
210 プログラム
211 復号モジュール
212 ファイル情報取得モジュール
Claims (10)
- 暗号化されたファイルに対して、アプリケーションから読み出し要求されたデータを読み出して復号し、復号したデータを前記アプリケーションに返す復号部を備え、
前記復号部は、前記暗号化されたファイルに対する前記読み出し要求に対してデータ読み出しの開始位置からデータを読み出して所定のサイズ毎に復号し、復号の都度、前記所定のサイズを前記開始位置に加算していき、加算結果がデータ読み出しの終了位置に達した場合、復号したデータを前記アプリケーションに返し、一方、前記加算結果が前記終了位置に達する前に、前記暗号化前の元のファイルサイズを超えた場合、復号したデータにファイル終端を付加して前記アプリケーションに返す、ことを特徴とするファイル暗号化復号装置。 - 前記アプリケーションからのファイル書き込み要求に対して、書き込み対象のデータを前記所定のサイズ毎に暗号化し、鍵情報及び暗号化前の元のファイルサイズ情報を含む暗号付加情報を、暗号化データとともに、ストレージに格納する暗号化部をさらに含む、ことを特徴とする請求項1に記載のファイル暗号化復号装置。
- 前記アプリケーションからのファイル情報取得要求に対して、前記暗号化されたファイルの暗号化前のファイル情報を応答として前記アプリケーションに返すファイル情報取得部を備えた、ことを特徴とする請求項2に記載のファイル暗号化復号装置。
- 前記ファイル情報取得部は、前記アプリケーションからの前記ファイル情報取得要求として、ファイルサイズ情報の取得要求を受けると、前記暗号付加情報に含まれる前記元のファイルサイズ情報を取得して、前記アプリケーションに返す、ことを特徴とする請求項3に記載のファイル暗号化復号装置。
- 前記読み出し要求に対してデータを復号して返す1つ又は複数のアプリケーションを記憶部に予め設定しておき、
前記読み出し要求に対して、前記アプリケーションが前記記憶部に設定されたアプリケーションであるか確認し、
前記記憶部に設定されたアプリケーションであることを確認すると、前記読み出し要求で指定されたファイルが暗号化されているか否かを確認し、
暗号化されている場合、前記復号部に対して、復号を指示する暗号化確認部を備えた、ことを特徴とする請求項2乃至4のいずれか1項に記載のファイル暗号化復号装置。 - 前記所定のサイズは、前記ストレージの所定のセクタサイズに対応する、請求項2乃至5のいずれか1項に記載のファイル暗号化復号装置。
- 請求項1乃至6のいずれか1項に記載のファイル暗号化復号装置と、
前記所定のサイズのセクタ単位に読み書きが行われるストレージと、
前記ストレージに対して、前記ファイル暗号化復号装置を介して、読み出し、書き込み、ファイル情報の取得の少なくとも1つを行う、少なくとも1つのアプリケーションと、
を備えた、ことを特徴とする情報処理装置。 - 暗号化されたファイルに対して、アプリケーションから読み出し要求されたデータを読み出して復号し、復号したデータを前記アプリケーションに返す復号処理を含み、
前記復号処理は、前記暗号化されたファイルに対する前記読み出し要求に対してデータ読み出しの開始位置からデータを読み出して所定のサイズ毎に復号し、復号の都度、前記所定のサイズを前記開始位置に加算していき、加算結果がデータ読み出しの終了位置に達した場合、復号したデータを前記アプリケーションに返し、一方、前記加算結果が前記終了位置に達する前に、前記暗号化前の元のファイルサイズを超えた場合、復号したデータにファイル終端を付加して前記アプリケーションに返す、ことを特徴とするファイル暗号化復号方法。 - 前記アプリケーションからのファイル書き込み要求に対して、書き込み対象のデータを前記所定のサイズ毎に暗号化し、鍵情報及び暗号化前の元のファイルサイズ情報を含む暗号付加情報を、暗号化データとともに、ストレージに格納する、ことを特徴とする請求項8に記載のファイル暗号化復号方法。
- 暗号化されたファイルに対して、アプリケーションから読み出し要求されたデータを読み出して復号し、復号したデータを前記アプリケーションに返す処理であって、
前記暗号化されたファイルに対する前記読み出し要求に対してデータ読み出しの開始位置からデータを読み出して所定のサイズ毎に復号し、復号の都度、前記所定のサイズを前記開始位置に加算していき、加算結果がデータ読み出しの終了位置に達した場合、復号したデータを前記アプリケーションに返し、一方、前記加算結果が前記終了位置に達する前に、前記暗号化前の元のファイルサイズを超えた場合、復号したデータにファイル終端を付加して前記アプリケーションに返す処理をプロセッサに実行させるプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019061664A JP7238539B2 (ja) | 2019-03-27 | 2019-03-27 | ファイル暗号化装置と方法とプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019061664A JP7238539B2 (ja) | 2019-03-27 | 2019-03-27 | ファイル暗号化装置と方法とプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020160985A JP2020160985A (ja) | 2020-10-01 |
| JP7238539B2 true JP7238539B2 (ja) | 2023-03-14 |
Family
ID=72639535
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019061664A Active JP7238539B2 (ja) | 2019-03-27 | 2019-03-27 | ファイル暗号化装置と方法とプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7238539B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117473537B (zh) * | 2023-12-27 | 2024-06-25 | 北京亿赛通科技发展有限责任公司 | 一种文件标定密级的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005031777A (ja) | 2003-07-08 | 2005-02-03 | Hitachi Ltd | ファイルセキュリティ維持処理方法及び実施装置並びに処理プログラム |
| JP2007026105A (ja) | 2005-07-15 | 2007-02-01 | Fuji Xerox Co Ltd | ファイル管理装置、ファイル管理方法、及びファイル管理プログラム |
| JP2009059008A (ja) | 2007-08-30 | 2009-03-19 | Sgi Japan Ltd | ファイル管理システム |
| US20160210469A1 (en) | 2015-01-20 | 2016-07-21 | Microsoft Technology Licensing, Llc | File Encryption Support for FAT File Systems |
| JP2018136603A (ja) | 2017-02-20 | 2018-08-30 | 日本電気株式会社 | 復号分類方法、復号分類装置および復号分類プログラム |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0810442B2 (ja) * | 1988-08-20 | 1996-01-31 | 富士通株式会社 | 順ファイルの書込み読出し制御方式 |
| JPH10260903A (ja) * | 1997-03-19 | 1998-09-29 | Hitachi Ltd | グループ暗号方法、及びファイル暗号システム |
-
2019
- 2019-03-27 JP JP2019061664A patent/JP7238539B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005031777A (ja) | 2003-07-08 | 2005-02-03 | Hitachi Ltd | ファイルセキュリティ維持処理方法及び実施装置並びに処理プログラム |
| JP2007026105A (ja) | 2005-07-15 | 2007-02-01 | Fuji Xerox Co Ltd | ファイル管理装置、ファイル管理方法、及びファイル管理プログラム |
| JP2009059008A (ja) | 2007-08-30 | 2009-03-19 | Sgi Japan Ltd | ファイル管理システム |
| US20160210469A1 (en) | 2015-01-20 | 2016-07-21 | Microsoft Technology Licensing, Llc | File Encryption Support for FAT File Systems |
| JP2018136603A (ja) | 2017-02-20 | 2018-08-30 | 日本電気株式会社 | 復号分類方法、復号分類装置および復号分類プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020160985A (ja) | 2020-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101852725B1 (ko) | 컴퓨터 프로그램, 비밀관리방법 및 시스템 | |
| EP2696305B1 (en) | Method and device for file protection | |
| US8832458B2 (en) | Data transcription in a data storage device | |
| US8751795B2 (en) | Secure transfer and tracking of data using removable non-volatile memory devices | |
| US20090094698A1 (en) | Method and system for efficiently scanning a computer storage device for pestware | |
| US20080016127A1 (en) | Utilizing software for backing up and recovering data | |
| JP2008527532A (ja) | 非セキュリティ領域にセキュリティ領域を割り当てる方法及び携帯用保存装置 | |
| US9026755B2 (en) | Content control systems and methods | |
| JP2010237480A (ja) | コンテンツ保護装置およびコンテンツ保護方法 | |
| JP5255991B2 (ja) | 情報処理装置、及びコンピュータプログラム | |
| JP7238539B2 (ja) | ファイル暗号化装置と方法とプログラム | |
| JP4895990B2 (ja) | 画像処理装置及びデータ消去方法 | |
| US20220292195A1 (en) | Ransomware prevention | |
| CN110298175B (zh) | 一种dll文件的处理方法及相关装置 | |
| US20180314837A1 (en) | Secure file wrapper for tiff images | |
| US20220123932A1 (en) | Data storage device encryption | |
| US20110010559A1 (en) | Method for encrypting digital file, method for decrypting digital file, apparatus for processing digital file and apparatus for converting encryption format | |
| US10606985B2 (en) | Secure file wrapper for TIFF images | |
| US9152636B2 (en) | Content protection system in storage media and method of the same | |
| Hasan et al. | The techniques and challenges of immutable storage with applications in multimedia | |
| JP5983939B2 (ja) | 情報処理装置および情報処理プログラム | |
| JP4979601B2 (ja) | 電子データ原本管理システムおよび電子データ原本管理システム用プログラム | |
| JP2018169740A (ja) | ファイルシステムおよびファイル管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220203 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221028 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221101 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221228 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230131 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230213 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7238539 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |