読み方 : エンベロープあんごうか

エンベロープ暗号化【envelope encryption】

概要

エンベロープ暗号化とは、暗号の運用方式の一つで、データ暗号化するための「データキー」を、さらに別の「マスターキー」で暗号化して、データ本体と共に保存する方式。手紙を封筒に入れ、その封筒をさらに別の封筒で密封する様子に例えた名称である。
エンベロープ暗号化のイメージ画像

まず、データそのものを暗号化するために共通鍵暗号方式暗号鍵であるデータキー(DEK:Data Encryption Key)が生成される。このデータキーが盗まれるとデータ解読されてしまうため、別の暗号鍵であるマスターキー(KEK:Key Encryption Key)によって暗号化し、暗号データと一緒に保管する。データ復号する際には、マスターキーでデータキーを復号し、これを使ってデータ本体を復号する。

エンベロープ暗号化により、クラウド環境などでデータ暗号化を利用する際に鍵管理の効率性を安全性を向上させることができる。マスターキーをクラウドサービスや専用のハードウェアなどの安全な場所に一括して保管しておくことで、万が一個別のデータキーが流出しても、マスターキーさえ守られていれば他のデータに被害が拡大することを防ぐことができる。

暗号化して保管したいデータがたくさんある場合、データの数だけデータキーを保管する必要があり、鍵の管理コストや保存のための記憶容量が大きくなるが、エンベロープ暗号化ではマスターキーのみを保存・管理しておけば良い。データキーはデータと共に保管され、暗号化されており秘匿する必要もないからである。実用上は、マスターキーはクラウドサービスキー管理サービスKMSKey Management Service)などで保管することが多い。

資格試験などの「エンベロープ暗号化」の出題履歴

▼ 基本情報技術者試験
令6修7 問28】 エンベロープ暗号化の説明はどれか。
この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。