アカウント名:
パスワード:
ケータイクレジットに致命的な弱点:フリー・コンテンツ:FACTA online [facta.co.jp]なんて話もありますし。
#そもそも、共通鍵暗号ということに驚いた。 #あえて ID で無知っぷりを発揮してみる
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
FeliCa は気をつけた方が良いかも (スコア:3, 参考になる)
ケータイクレジットに致命的な弱点:フリー・コンテンツ:FACTA online [facta.co.jp]なんて話もありますし。
#そもそも、共通鍵暗号ということに驚いた。
#あえて ID で無知っぷりを発揮してみる
Re:FeliCa は気をつけた方が良いかも (スコア:0)
Re:FeliCa は気をつけた方が良いかも (スコア:1)
共通鍵ってのは、公開鍵のことじゃないの?そしたらこの記事自体が笑い話なんだけど。
そうでもない (スコア:5, 参考になる)
公開鍵暗号の方がセキュリティ上は便利なように思えるかもしれないけど、公開鍵暗号は処理が遅いという欠点がある。たとえばSuicaを改札機が認識するまで5秒かかるとしたら、はたしてそれは実用的といえるだろうか?クレジットカードなら許容範囲かもしれないが、改札では実用的とは言えない。Edyでも認証に10秒かかるなら普及は困難だろう。10秒もかかるなら小銭をやり取りする方が早いからだ。FeliCaは処理速度を考慮して共通鍵暗号を採用し、セキュリティは別の仕組みで実現している。
そもそもこの手のセキュリティチップは、そう簡単には中の情報を吸い出せないような作りになっている。(対タンパ性という。)吸い出すには、それなりに高度な技術と資金と時間が必要になるが、それでも洩れる可能性も0ではない。だから、そういう時のための「隠しコマンド」の様な物が用意されており、「万が一」秘密鍵が洩れた場合は隠しコマンドを実行して漏れた秘密鍵1を無効化、新しい秘密鍵2を使用するように変更する。
「全端末を一斉更新しなければならない。」といっても最初から用意されている隠しコマンドを実行するだけなので、アンチウイルスソフトのパターンファイルの更新と同程度以下。Windowsアップデートでパッチをダウンロードするような時間はかからないはず。
いくら耐タンパ性があると言っても、犯罪組織が総力を挙げて解析すれば秘密鍵を取り出すことも可能だろう。しかし、たとえ秘密鍵を手に入れてもそれを悪用できるのは数日~1週間程度で、これではコストに見合う利益を得るのは難しい。エシュロンのような国レベルの諜報活動ならともかく、組織犯罪に対する抑止力としてはこれで十分だろう。所詮はたかだかプリペイドカード程度だしね。
なおFeliCaのセキュリティレベルの高さは米国政府からも認められているそうだ。(ちょっとうろ覚えだけど、核兵器などの軍用には使えないけれど、政府レベルでは使用可能だったかな。)
Re:そうでもない (スコア:0)
その間に何が行われるかはFelica上のキャッシュフロー規模次第で変わってくる部分もあるから、「だからたいしたこと無い」とはいえないですね。
Felicaだって「たかがプリペイドカード」を市場規模に見込んでるわけでもないだろうし。
記事そのものは「公開鍵にくらべて共通鍵はセキュリティレベルが低い」という「カラスは黒い」並みの話を拡大してるとは思いますけど。
Re:そうでもない (スコア:2, 参考になる)
これ、一概にはいえませんね。
そもそも用途が違うので、あまり比較しないものだと思います。攻撃への強さという点で比較すると、これはもうアルゴリズムと鍵長によってまちまちです。
公開鍵暗号を使う場合でも、通常はあわせて共通鍵(秘密鍵)暗号も使いますし。
昔よく「128ビットSSL」という言葉がでましたが、SSLの仕組みの根幹は公開鍵暗号(当時よく使われていたのは1024ビットRSA)で、128ビットなのは(いわば)補助的に使われる共通鍵暗号の鍵長ですしね。
Re:そうでもない (スコア:1)
うん。それはそうだけど、例えばEdyにしろSuicaにしろ、やはり大した問題にはなりそうにない。たとえばEdyの上限は5万円で、最大5万円をチャージして全額使用すれば5万円の商品をだまし取られる恐れがある。しかし5万円をチャージして5万円を利用する客は少ないので足が付きやすい。警察の目を欺くには2万円をチャージして1万円程度の商品を入手し、換金して5千円程度の現金を入手するとかになるだろう。
カラープリンタでお手軽な偽札を作るのと、はたしてどちらが儲かるだろうか?