• 概要
• データの難読化
  • メソッド
  • 暗号名
  • 秘密鍵ファイル
  • シンプル出力
  • エンコーディング
  • 入力をエコー
• 秘密鍵の生成
  • メソッド
  • 秘密鍵ファイル

Wrapper vers. 3.6.0 以降、スタンダード版およびプロフェッショナル版では、 パスワードや機密データを難読化し、設定ファイルに安全に保存することが可能になります。 難読化は真の暗号化とは区別されるべきですが、実際のテキストやパスワードを隠し、カジュアルな観察者がエンコードされた値を覚えるのを 非常に困難にすることで、ある程度のセキュリティを提供します。

設定をロードする際、Wrapper は難読化されたトークンをデコードし、それらが参照されるプロパティ値を機密データとしてマークします。 機密データとしてマークされたプロパティ値は、追加の予防措置をもって扱われます。 まず、セキュアなファイルからロードされたことを確認し、次に、平文での公開なしに意図された目的でのみ使用されることを保証します。

値がコンソール、電子メール、ログ、コマンドラインなどに表示される可能性のあるプロパティの使用を除外するため、 難読化されたトークンをその値に含めることが許可されているのは、限られたプロパティセットのみです。 また、環境への情報漏洩を防ぐために、変数定義での使用も禁止されています。

機密データを含むプロパティ値は、以下のセキュリティ予防措置をもって処理されます。

• 機密テキストを含むファイルのパーミッションがチェックされ、ファイルをロードするには制限された読み取りアクセスが必要となります。 詳細については、こちらのページをお読みください。

• 機密テキストはログ内でマスクされ、固定数の「*」文字で構成されるマスクに置き換えられます。

• 「タスク マネージャー」(Windows) や「ps」(Unix) などのプロセス一覧ツールでクリアテキストが公開されるのを防ぐため、 プロパティ値は Java コマンドラインで参照されることは許可されません。 アプリケーションパラメーター内の機密データをコマンドラインではなくバックエンドチャネル経由で渡すことを許可するには、 プロパティ［wrapper.app.parameter.backend］を「TRUE」に設定する必要があることに注意してください。

パスワードをエンコード/難読化するためにいくつかのメソッドが利用可能です。 その一部には秘密鍵を使用できます。 Wrapper は、データをエンコードし、秘密鍵を生成するためのコマンドを提供します。 このページでは、各コマンドのオプションについて説明します。

対応バージョン :	3.6.0
対応エディション :
対応プラットフォーム :

「--cipher」コマンドは、Wrapper でパスワードまたは機密データをエンコードし、 関連する「cipher」設定を生成するために使用できます。

値を正確にエンコードする方法を指定するには、「--cipher」コマンドを使用する際にいくつかのパラメーターが必要です。 以下のセクションでは、各パラメーターの設定方法について説明しますが、まず、設定ファイル内でエンコードされた値がどのように見えるかを 見てみましょう。 次の構文が使用されます。

%zrmVK5-Zp7qHptL9Yu66qr|<cipher_name>%

• 「% %」はエンコードされたトークンの区切り文字で、

• 「zrmVK5-Zp7qHptL9Yu66qr」はエンコードされた値で、

• <cipher_name>は値をエンコードするために使用される設定の識別子です（下記を参照）。

値のエンコーディングは、以下のプロパティセットで設定できます。

• ［ [wrapper.cipher.<n>.name] ］プロパティ：インデックス「<n>」のエンコーディング設定の識別子、

• ［ [wrapper.cipher.<n>.method] ］プロパティ：エンコーディングメソッド（下記を参照）、

• ［ [wrapper.cipher.<n>.private_keyfile] ］プロパティ：秘密鍵へのパス。

一部のメソッドではデフォルトのコンフィギュレーションが定義されており、その場合は上記のプロパティを省略できます。 このようなデフォルト設定では、カスタムの秘密鍵は使用されず、<cipher_name> はメソッド名と同じになります。

次に、「--cipher」コマンドの使用方法の詳細に入ります。

「wrapper --help」は、以下の出力を表示します。これについてさらに詳しく説明します。

  --cipher パスワードを難読化し、［wrapper.cipher.*］プロパティとともにトークンを生成し、
    それをコンフィギュレーションファイルで使用して安全性を高めます。
    エンコードされる値は Wrapper のパイプを利用して Stdin（標準入力）に送信しなければなりません。
    それ以外の場合は、プロンプトが表示されます。
    次の「引数」が利用できます。
      --method <メソッド名> 次のメソッドのいずれかを利用できます。
          base64   : Base64 でエンコードします
          base64url: URL を修正された Base64 でエンコードします
          obf      : 難読化された固定文字列を生成します
          robf     : 難読化されたランダムな文字列を生成します
      --name <cipher name> 任意の暗号名。「--private_keyfile」が指定されている場合、
        この引数は必須です。
      --private_keyfile <ファイルパス> 秘密鍵への任意のパス
        （「obf」と「robf」メソッドで利用可能）です。
      --encoding <utf8 または utf-8> Stdin を読み込むときに使用するエンコード。
      --echo エンコードの問題をデバッグするために入力をエコーします
        （実際のパスワードでは使用しないでください）。
      --simple 指定されている場合、出力には難読化された文字列のみが含まれます。

wrapper.cipher.1.name=obf1

wrapper.cipher.1.name=obf1
wrapper.cipher.1.method=obf
wrapper.cipher.1.private_keyfile=../conf/my_private_key

エンコードされたトークン：
    %K401JeI7GaHRplWDz15c6hmXkKM_9CoFrAo8P|r1%

コンフィギュレーション：
    wrapper.cipher.1.name=r1
    wrapper.cipher.1.method=obf
    wrapper.cipher.1.private_keyfile=mykey

%K401JeI7GaHRplWDz15c6hmXkKM_9CoFrAo8P|r1%

cat file_containing_password | ./wrapper --cipher --method obf --simple | sed -i "s/@pw1@/$(cat)/g" ../conf/wrapper-private.conf

type input.txt | wrapper.exe --cipher --method obf --encoding utf8

$OutputEncoding = [System.Text.Encoding]::UTF8
Get-Content .\input.txt -Encoding UTF8 | .\wrapper.exe --cipher --method obf --encoding utf8

type inpututf8.txt | wrapper.exe --cipher --method obf --echo

...

入力データ：'NiA±o'

エンコードされたトークン：
    %59qW5A=k2naYbzKiXOUcGc5OA598K0Kq6|obf%

type input.txt | wrapper.exe --cipher --method obf --echo --encoding utf8

...

入力データ：'Nino'

エンコードされたトークン：
    %_G2moKq5aFVvtwAn6pyk5MS4G6Hm4mR|obf%

対応バージョン :	3.6.0
対応エディション :
対応プラットフォーム :

Wrapper は、特定のエンコード方式で使用される秘密鍵を生成するための「--keygen」コマンドを提供します。

「wrapper --help」は以下の出力を表示しますが、これについてさらに詳しく説明します。

  --keygen パスワードを難読化する際に使用する秘密鍵ファイルを生成します。
    次の「引数」が利用できます。
      --method <メソッド名> 秘密鍵が使用される難読化方法を設定します：
          obf ：固定難読化用のキーを生成します
          robf：ランダムな難読化用のキーを生成します
      --private_keyfile <ファイルパス> キーファイルのファイル名を指定します。

暗号設定：

• [ wrapper.cipher.<n>.name ] (3.6.0) ( スタンダード版/プロフェッショナル版 )

  インデックス「<n>」の暗号設定の識別子を指定します。

• [ wrapper.cipher.<n>.method ] (3.6.0) ( スタンダード版/プロフェッショナル版 )

  インデックス「<n>」の暗号設定のエンコード方式を指定します。

• [ wrapper.cipher.<n>.private_keyfile ] (3.6.0) ( スタンダード版/プロフェッショナル版 )

  インデックス「<n>」の暗号設定の秘密鍵ファイルへのパスを指定します。

セキュアファイル：

• [ wrapper.secure_file.check.windows.allowed_account.<n> ] (3.6.0)

  Windows でセキュアファイルの読み取りが許可されているアカウント (ユーザーまたはグループ) を一覧表示します。

• [ wrapper.secure_file.check.unix.allowed_group.<n> ] (3.6.0)

  Unix でセキュアファイルの読み取りが許可されているグループを一覧表示します。

• [ wrapper.secure_file.check.windows.allow_unsecured_volumes ] (3.6.0)

  Windows でセキュアファイルを、ファイル権限をサポートしていない形式のボリュームに保存できるようにします。

• [ wrapper.secure_file.check.unix.allow_unsecured_volumes ] (3.6.0)

  Unix でセキュアファイルを、ファイル権限をサポートしていない形式のボリュームに保存できるようにします。

• [ wrapper.secure_file.check.disable ] (3.6.0)

  セキュアファイルに対して「許可」として設定されているアカウントまたはグループのチェックをスキップします。

• [ wrapper.secure_file.check.loglevel ] (3.6.0)

  セキュアファイルに関する問題を報告するメッセージが記録されるログレベルを設定します。

• [ wrapper.secure_file.check.strict ] (3.6.0)

  許可されていないアカウントまたはグループにセキュアファイルの権限が付与された場合に Wrapper を停止するかどうかを指定します。

• [ wrapper.secure_file.additional.<n> ] (3.6.0) ( スタンダード版/プロフェッショナル版 )

  アクセス権限がチェックされる追加のセキュアファイルを一覧表示します。

• [ wrapper.secure_file.additional.<n>.required ] (3.6.1) ( スタンダード版/プロフェッショナル版 )

  追加のセキュリティファイルが必要かどうかを指定します。

コマンド：

• [ --cipher command ] (3.6.0) ( スタンダード版/プロフェッショナル版 )  ⇧
• [ --keygen command ] (3.6.0) ( スタンダード版/プロフェッショナル版 )  ⇧