アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
2時間かかるならいいや (スコア:0)
>攻撃者が自ら読取り機の電波を通行人の被害者に照射してIDを盗む「アクティブ型の攻撃」と
2時間ずっと被害者に付きまとっているつもりなのかしらん?
Re:2時間かかるならいいや (スコア:1)
コインロッカーとか、そこまでいかなくても職場、長距離電車とかなら可能かと。
あと、別に特定のターゲットである必要がない場合もあるのでは?
推測で原理は完全に理解してませんが、ガソリンスタンドの件なら
「チャレンジコード」と「暗号化結果」が取得できれば「誰か」は関係なく目的は達成できるでしょうから。
他に社員カードであるなら、その会社の誰かであればいいように。
# 入退室をオンラインで管理してたり顔写真と照合やパスワードと複合でしたらダメでしょうけど。
こういう場合はターゲット付近に装置を仕掛けたら大分効率的にスキミングできそうです。
また、2時間は必須ではないかもしれません。
チャレンジレスポンスの信号はおそらく常時出ているわけで(でなければおそらく応答性能が損なわれる)、
スキミング装置が「わからない」場合は無視してしまえばいいわけです。
チャレンジレスポンスの変更タイミングが短くビット数も少なければこの戦略は使いやすくなると思います。
カード押し当てても恐らく技術的に認識率100%が不可能な以上周囲からはあんま不審に思わないかと。
妄想ですが、今後スキミング技術が進歩して1時間程度で可能になってしまったら、
普通に喫茶店や食事してる時にバッグの中にスキミング装置仕込んでおいて、
隣の客のバッグの中のICカードデータのみを盗むというシナリオもできませんかね?
磁気カードのように店員等が犯人ならまだ追跡しやすいですが。
客まで犯人対象になったら本当に追跡調査は絶望的に難しい気がします。
まぁ、これらはカード自体に一定時間内の認証回数制限とか、
鍵自体のビット数を増やせば解決できそうですが・・・
# ところで、40bitってDVDの時とみたいに輸出規制絡みだったのかな?
# 40bitごときじゃ気休めにしかならなくなっちゃったのかもね・・・