アカウント名:
パスワード:
ケータイクレジットに致命的な弱点:フリー・コンテンツ:FACTA online [facta.co.jp]なんて話もありますし。
#そもそも、共通鍵暗号ということに驚いた。 #あえて ID で無知っぷりを発揮してみる
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
FeliCa は気をつけた方が良いかも (スコア:3, 参考になる)
ケータイクレジットに致命的な弱点:フリー・コンテンツ:FACTA online [facta.co.jp]なんて話もありますし。
#そもそも、共通鍵暗号ということに驚いた。
#あえて ID で無知っぷりを発揮してみる
Re:FeliCa は気をつけた方が良いかも (スコア:0)
Re:FeliCa は気をつけた方が良いかも (スコア:1)
共通鍵ってのは、公開鍵のことじゃないの?そしたらこの記事自体が笑い話なんだけど。
そうでもない (スコア:5, 参考になる)
公開鍵暗号の方がセキュリティ上は便利なように思えるかもしれないけど、公開鍵暗号は処理が遅いという欠点がある。たとえばSuicaを改札機が認識するまで5秒かかるとしたら、はたしてそれは実用的といえるだろうか?クレジットカードなら許容範囲かもしれないが、改札では実用的とは言えない。Edyでも認証に10秒かかるなら普及は困難だろう。10秒もかかるなら小銭をやり取りする方が早いからだ。FeliCaは処理速度を考慮して共通鍵暗号を採用し、セキュリティは別の仕組みで実現している。
そもそもこの手のセキュリティチップは、そう簡単には中の情報を吸い出せないような作りになっている。(対タンパ性という。)吸い出すには、それなりに高度な技術と資金と時間が必要になるが、それでも洩れる可能性も0ではない。だから、そういう時のための「隠しコマンド」の様な物が用意されており、「万が一」秘密鍵が洩れた場合は隠しコマンドを実行して漏れた秘密鍵1を無効化、新しい秘密鍵2を使用するように変更する。
「全端末を一斉更新しなければならない。」といっても最初から用意されている隠しコマンドを実行するだけなので、アンチウイルスソフトのパターンファイルの更新と同程度以下。Windowsアップデートでパッチをダウンロードするような時間はかからないはず。
いくら耐タンパ性があると言っても、犯罪組織が総力を挙げて解析すれば秘密鍵を取り出すことも可能だろう。しかし、たとえ秘密鍵を手に入れてもそれを悪用できるのは数日~1週間程度で、これではコストに見合う利益を得るのは難しい。エシュロンのような国レベルの諜報活動ならともかく、組織犯罪に対する抑止力としてはこれで十分だろう。所詮はたかだかプリペイドカード程度だしね。
なおFeliCaのセキュリティレベルの高さは米国政府からも認められているそうだ。(ちょっとうろ覚えだけど、核兵器などの軍用には使えないけれど、政府レベルでは使用可能だったかな。)
Re:そうでもない (スコア:0)
その間に何が行われるかはFelica上のキャッシュフロー規模次第で変わってくる部分もあるから、「だからたいしたこと無い」とはいえないですね。
Felicaだって「たかがプリペイドカード」を市場規模に見込んでるわけでもないだろうし。
記事そのものは「公開鍵にくらべて共通鍵はセキュリティレベルが低い」という「カラスは黒い」並みの話を拡大してるとは思いますけど。
Re:そうでもない (スコア:2, 参考になる)
これ、一概にはいえませんね。
そもそも用途が違うので、あまり比較しないものだと思います。攻撃への強さという点で比較すると、これはもうアルゴリズムと鍵長によってまちまちです。
公開鍵暗号を使う場合でも、通常はあわせて共通鍵(秘密鍵)暗号も使いますし。
昔よく「128ビットSSL」という言葉がでましたが、SSLの仕組みの根幹は公開鍵暗号(当時よく使われていたのは1024ビットRSA)で、128ビットなのは(いわば)補助的に使われる共通鍵暗号の鍵長ですしね。
Re:そうでもない (スコア:1)
うん。それはそうだけど、例えばEdyにしろSuicaにしろ、やはり大した問題にはなりそうにない。たとえばEdyの上限は5万円で、最大5万円をチャージして全額使用すれば5万円の商品をだまし取られる恐れがある。しかし5万円をチャージして5万円を利用する客は少ないので足が付きやすい。警察の目を欺くには2万円をチャージして1万円程度の商品を入手し、換金して5千円程度の現金を入手するとかになるだろう。
カラープリンタでお手軽な偽札を作るのと、はたしてどちらが儲かるだろうか?
Re:FeliCa は気をつけた方が良いかも (スコア:1)
公開鍵で暗号化した情報は、秘密鍵でしか復号できない。
暗号化と復号が別の鍵なので、公開鍵のほうは秘密にする必要が無いのです。
共通鍵の場合、暗号化も複合も同じ鍵を使います。
共通鍵方式は、カードと読み取り機に同じ鍵を記録させておいて、それで暗号通信をしている。
だから、いまさら鍵を変えるのは難しいので、鍵が漏れた時大変って事だと思う。
公開鍵方式だと、公開鍵も秘密鍵も読み取り機に記録しておいて、通信の最初に公開鍵をカード側に渡すって事が可能。
これなら、端末側の修正だけで鍵を変えられるから、秘密鍵が漏れても対処可能。
って事なんじゃないかな?
Re:FeliCa は気をつけた方が良いかも (スコア:0)
これが本当の (スコア:0)
……って話じゃないのか。
Re:これが本当の (スコア:0)
Re:FeliCa は気をつけた方が良いかも (スコア:0)
つまり、香港ハカーが総がかりでもまだ破れていないと言えるでしょう。